Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
727 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Management du SI

  Gestion des départs Utilisateurs

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Gestion des départs Utilisateurs

n°140210
cuhbe
Posté le 19-05-2016 à 16:19:47  profilanswer
 

Bonjour à tous,
 
Je vous consulte car je me trouve régulièrement face à un petit soucis de gestion de mes comptes utilisateurs.
Dans mon entreprise (un peu plus de 1500 personnes) nous sommes systématiquement informés quand une nouvelle personne arrive et donc on lui créé un compte AD, messagerie etc.
Jusque là pas de soucis.
 
Par contre il arrive fréquemment que quand les personnes quittent l'entreprise, nous ne soyons pas informés au niveau de l'IT.  
Nous avons donc potentiellement des comptes actifs en service alors que personne ne les utilise. Pire, parfois ces utilisateurs disposent d'un accès distant qui reste ouvert.
 
La question est donc :
Comment gérez vous les départs des utilisateurs dans vos société ? Accord avec vos RH pour avoir l'info, script lié à l'ERP ? ... ?
 
Je vous remercie par avance pour vos retours.
 
 
A +

Message cité 1 fois
Message édité par cuhbe le 19-05-2016 à 16:20:53
mood
Publicité
Posté le 19-05-2016 à 16:19:47  profilanswer
 

n°140211
nebulios
Posté le 19-05-2016 à 16:40:24  profilanswer
 

Typiquement dans une grande boîte tout ça est géré par les RH via un soft de gestion d'identité. Soft qui va ensuite mettre à jour les informations contenues dans l'AD.

n°140213
remi_
Posté le 19-05-2016 à 16:59:57  profilanswer
 

Bonjour,
 
ici dans une PME, la RH nous prévient de la date de sortie, à nous de fermer les accès au SI.

n°140218
exmachina
Posté le 19-05-2016 à 19:14:21  profilanswer
 

Bonjour,
 
soft rh --> moulinette --> ldap --> moulinette -->ad

n°140224
flash_gord​on
Posté le 20-05-2016 à 03:48:51  profilanswer
 

cuhbe a écrit :


 
La question est donc :
Comment gérez vous les départs des utilisateurs dans vos société ? Accord avec vos RH pour avoir l'info, script lié à l'ERP ? ... ?


 
Avant de parler de script etc, il faut commencer par les RH, c'est a eux de communiquer l'info de l'arrivée et du depart.
 
Tu ne peux pas etre tenu responsable d'une info que tu n'as pas.

n°140225
hanka
Posté le 20-05-2016 à 06:26:00  profilanswer
 

Même problème chez nous. Les RH sont censé nous informer du départ d'une personne, mais ne le font pas systématiquement. Nous avons pourtant tout fait pour leur simplifier la vie, tout ce qu'elles ont à faire, c'est remplir un fichier excel avec le nom et le prénom et la date de départ de la personne.  
 
Nous avons mis en place une tâche planifiée qui fait une requête AD sur base de  la dernière date de connexion et si la dernière date de connexion d'un utilisateur excède les 30 jours, les rh sont averties.  
 
Nous avons dû pousser plus loin (avec l'accord de la direction). En l'absence de réponse, 10 jours plus tard, le compte est verrouillé et 60 jours plus tard, il est supprimé.


Message édité par hanka le 20-05-2016 à 06:26:29
n°140229
com21
Modérateur
real men don't click
Posté le 20-05-2016 à 09:19:59  profilanswer
 

Hanka : tu peux poster tes tâches planifiées (en virant les infos pro) ?
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°140233
cuhbe
Posté le 20-05-2016 à 10:13:36  profilanswer
 

Merci pour vos réponse.
Ca me conforte dans mon idée de départ.
Le principe de la remontée des comptes inactifs est pas mal, je vais mettre ça en place.

n°140258
hanka
Posté le 23-05-2016 à 12:43:26  profilanswer
 

$getDate=(get-date).addDays(-30).tostring("MM\/dd\/yyyy hh:mm:ss" )
get-aduser -f * -pr lastlogondate |where-object {$_.lastlogondate -lt $getdate}|ft samaccountname,lastlogondate


 
Le reste , c'est un export csv envoyé par mail.

n°140259
flash_gord​on
Posté le 23-05-2016 à 13:11:59  profilanswer
 

Ce topic me terrifie.
 
Pas par ce  que vous faites, mais par ce que vous êtes obligés de faire.
Vous n'avez aucune influence sur les RH chez vous ? Pas de système qualité, pas de réunion de la direction etc pour les contraindre à faire leur taf le plus basique ? :sweat:

mood
Publicité
Posté le 23-05-2016 à 13:11:59  profilanswer
 

n°140260
com21
Modérateur
real men don't click
Posté le 23-05-2016 à 13:17:14  profilanswer
 

hanka a écrit :

$getDate=(get-date).addDays(-30).tostring("MM\/dd\/yyyy hh:mm:ss" )
get-aduser -f * -pr lastlogondate |where-object {$_.lastlogondate -lt $getdate}|ft samaccountname,lastlogondate


 
Le reste , c'est un export csv envoyé par mail.


 
 :jap:  
 
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°140263
hanka
Posté le 23-05-2016 à 13:33:54  profilanswer
 

flash_gordon a écrit :

Ce topic me terrifie.
 
Pas par ce  que vous faites, mais par ce que vous êtes obligés de faire.
Vous n'avez aucune influence sur les RH chez vous ? Pas de système qualité, pas de réunion de la direction etc pour les contraindre à faire leur taf le plus basique ? :sweat:


 
Non aucun :/ Le personnel RH est d'une autre époque. Il m'arrive même de devoir les assister pour remplir un formulaire en ligne.  :D  Elle ont tellement peur de l'outil informatique que lorsqu'on leur propose une amélioration, elles refusent de peur de mal faire ou de ne pas s'y retrouver.  
 

n°140269
cuhbe
Posté le 23-05-2016 à 14:38:53  profilanswer
 

Le but n'est pas tellement de "contraindre" mais plus de trouver la solution la mieux adaptée pour que ce ne soit pas fastidieux et qu'il n'y ai pas d'oubli.  
Si on demande des choses mais qu'on ne fourni pas les outils adaptés, tout le monde le vois en effet comme une contrainte.

n°140274
nebulios
Posté le 23-05-2016 à 15:05:57  profilanswer
 

flash_gordon a écrit :

Ce topic me terrifie.
 
Pas par ce  que vous faites, mais par ce que vous êtes obligés de faire.
Vous n'avez aucune influence sur les RH chez vous ? Pas de système qualité, pas de réunion de la direction etc pour les contraindre à faire leur taf le plus basique ? :sweat:


 
Leur fournir les outils/logiciels et les formations adéquates ne fait pas parti de leurs responsabilités en tant que RH.

n°140280
75Karl
Posté le 23-05-2016 à 19:49:15  profilanswer
 

même souci sur un site,
le problème est remonté en réunion, le RH envoie les infos pendant les 2 mois qui suivent la réunion, puis plus rien après
on a même eu pire, le RH nous envoie une liste avec des personnes qui sont sensés être partis, donc compte supprimé
et surprise, certaines personnes envoient une fiche d'incident car elles ne peuvent plus se connecter  :fou:  
du coup on a adopté une méthode plus agressive,
on a une OU quarantaine, et une tache planifiée qui tourne avec des requêtes dsquery
pour un personnel sans connexion pendant 30 jours = déplacement du comptes dans l'OU quarantaine et désactivation de ce compte
pour un stagiare sans connexion pendant 7 jours, même chose
pour un compte dépassant les 60 jours, suppression

n°140284
frede94
Anti cococouillon
Posté le 23-05-2016 à 22:48:22  profilanswer
 

C'est bien peu 30 jours. Tu pars en congés 4 semaines, ça les fait les 30 jours en comptant le 1er week end.
Sans compter les arrêts maladie.. ou les congés maternité pour lesquels cela dépasse forcément les 60 jours.. remarque que c'est une bonne méthode pour dissuader les femmes de tomber enceinte et de perturber ainsi l'organisation d'un service :o


Message édité par frede94 le 23-05-2016 à 22:50:06
n°140502
giigii
Posté le 03-06-2016 à 23:15:58  profilanswer
 

Heu sans vouloir faire chier. C'est un problème d'organisation.
Le processus RH, qui doit déclencher le processus de provisionning et de gestion d'identité, n'est pas bon.

 

Avan tout outil, vous devez vous mettre d'accord sur le processus d'arrivée et de départ.

 

Dans ma société et pour schématiser le process et l'outillage

 

RH créé un employé dans la base HCM ->
Employé répliqué dans AD ->
Réplication AD vers les IDM des softs métiers et différents portails
après le user est géré localement par les softs métiers

 

Les autorisations d'accès au différents soft se fait au niveau de l'AD. C'est l'AD qui fait office de trust entity pour l'accès aux appli métiers.

 

Quand un employé quitte la boite sommairement il est supprimé de la base HCM qui déclenche le nettoyage de l'AD et des IDMs. En vrai, toutes les author sont révoqués et le user est désactivé techniquement.

 

Le tout avec un seul User/MDP pour l'intégralité des applications et accès.

 

Et ça marche pour gérer 300 000 personnes chez nous


Message édité par giigii le 03-06-2016 à 23:17:14
n°140503
bardiel
Debian powa !
Posté le 04-06-2016 à 08:35:25  profilanswer
 

Pour les méthodes automatisées, 30 jours ou 60 jours, c'est un peu court [:transparency]  
J'ai des personnes en arrêt maladie de longue durée, qui ne reviennent parfois qu'au bout de 3-4 mois.
L'utilisation d'une OU "quarantaine" est une bonne idée.
 
Pour le reste c'est effectivement du niveau RH de faire son taf, mais là dépend totalement de la taille de l'entreprise [:spamatounet]  
 
Chez nous c'est plus la gestion des mouvements de personnels qui sont parfois problématiques, avec des personnes déjà en place sur leur nouveau site mais avec au niveau RH/HCM toujours à l'ancien endroit (du genre quelqu'un de Lille qui part sur Paris). Quand c'est dans la même région ça peut passer, mais quand ça change de région et que des paramètres réseaux comme les lecteurs communs sont gérés au niveau régional, c'est parfois bloquant.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°140508
75Karl
Posté le 04-06-2016 à 15:14:39  profilanswer
 

Citation :


Pour les méthodes automatisées, 30 jours ou 60 jours, c'est un peu court [:transparency]  
J'ai des personnes en arrêt maladie de longue durée, qui ne reviennent parfois qu'au bout de 3-4 mois.


 
c'était un résumé, quand je dis 30 et 60 jours, c'est bien sur sans la période légale de congés cumulés de 31 jours, sinon y'aurait beaucoup de comptes désactivés après les grandes vacances  :D  
 
donc la désactivation, c'est à 31+30 = 61 jours
la suppression, c'est pareil, c'est 60 jours après mise en quarantaine, donc 61+60=121
et là encore, 15 jours avant sa suppression, un mail est envoyé au RH avec en copie la direction concernée par le compte pour prévenir de sa suppression
si une réponse justifie l'absence de connexion (maladie, maternité, formation, sabbatique,....) le compte est déplacé dans une sous OU de l'OU quarantaine, appelée longue durée, là il reste désactivé mais n'est pas supprimé
si aucune réponse, c'est au RH de s'expliquer avec la direction

n°140509
flash_gord​on
Posté le 04-06-2016 à 15:30:37  profilanswer
 

Ça laisse 121 jours a un mec parti en mauvais termes pour saboter/supprimer ce qu'il veut.
Franchement, je maintiens, faut vraiment régler votre truc niveau RH...
 

n°140514
giigii
Posté le 04-06-2016 à 23:49:42  profilanswer
 

bardiel a écrit :

Pour les méthodes automatisées, 30 jours ou 60 jours, c'est un peu court [:transparency]  
Pour le reste c'est effectivement du niveau RH de faire son taf, mais là dépend totalement de la taille de l'entreprise [:spamatounet]  


 
La dessus, je ne suis pas d'accord. Peu importe la taille de l'entreprise. C'est une question d'organisation et de définition du processus RH.
ITIL / CMMi et définition de processus et de son RACI ça marche aussi dans les petites structures.
 

n°140527
bardiel
Debian powa !
Posté le 05-06-2016 à 20:24:06  profilanswer
 

La gestion RH et informatique est différente entre la PME de 30 salariés sur 1 seul site, l'entreprise de moyenne taille de 500 salariés dispersés sur plusieurs sites, et la grosse boîte (voire la multinationale) de 30.000 salariés ou plus [:spamatounet]


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°140528
flash_gord​on
Posté le 05-06-2016 à 20:29:17  profilanswer
 

Certes, mais ce n'est pas une excuse.
 
Si la boite est trop petite pour avoir un logiciel de RH  toussa, alors une bete liste de distribution et ils envoient un mail quand un mec s'en va, mais vous pouvez pas rester sans savoir quels comptes sont supposés etre actifs ou pas, c'est pas possible.


Message édité par flash_gordon le 05-06-2016 à 20:29:28
n°140530
bardiel
Debian powa !
Posté le 05-06-2016 à 20:40:45  profilanswer
 

Le "vous" ce n'est pas moi hein, je parle de cas génériques.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°140531
flash_gord​on
Posté le 05-06-2016 à 20:47:35  profilanswer
 

Je m'adresse au topic en général, comme depuis mon premier post.

n°140569
giigii
Posté le 07-06-2016 à 00:51:12  profilanswer
 

Et mettre en place un processus RH (incluant la partie support) ne dépend pas de la taille de la boite.

 

Un listing à jour à dispo du RSI peut largement suffir. Il faut documenter le processus et y attribuer un RACI. Sans cela c'est le bordel et chacun fait comme il le peut... Difficile de leur reprocher par la suite


Message édité par giigii le 07-06-2016 à 00:52:03
n°140570
fred34
Posté le 07-06-2016 à 08:49:12  profilanswer
 

Nous avions également le même problème (100 personnes + une agence à l'étranger de 15 personnes).
 
On nous prévenait toujours des arrivées (de préférence le plus tard possible :o ) mais jamais des départs.
 
Nous avons mis au point des procédures avec les RH qui fonctionnent au final assez bien, même si il a fallu du temps pour qu'elles soient vraiment appliquées (il faut relancer et relancer encore).
 
En gros : lors d'un départ, les RH nous remplissent une fiche type contenant toutes les infos dont nous avons besoin : date de départ effective, à qui transférer les droits, les mails,...
 
Ca leur prend 5 minutes et c'est maintenant intégré dans leurs process.
 
Ceci dit, j'aime bien l'idée d'un script qui effectue un reporting des comptes AD non utilisés depuis X jours. :)


---------------
http://leblogdundsi.lesprost.fr/
n°140666
ArthurB
Posté le 10-06-2016 à 16:14:48  profilanswer
 

J'ai l'impression qu'on a tous le même type de service RH... :(

n°140847
Matteu
Posté le 19-06-2016 à 16:59:48  profilanswer
 

Bonjour dans notre cas nous avons un erp.
Lorsque une rh sort un employé le service info reçoit un mail et donc on vérifie si un compte windows est associé si oui on le désactive et lui enlève la licence office 365


---------------
Mon Feedback---Mes ventes
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Management du SI

  Gestion des départs Utilisateurs

 

Sujets relatifs
[Résolu]Gestion des disques et Smart Array P420i - W2K12 StdSolution Gestion Auto-Entrepreneur
Architecture réseau pour 220 utilisateursvCenter 5.5 et statistiques utilisateurs
Logiciel gestion documentaireInstallation 1 PC plusieurs Utilisateurs, Ecrans
Recherche logiciel gratuit gestion SQLlimiter la gestion d'un groupe Active Directory
Plus de sujets relatifs à : Gestion des départs Utilisateurs


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR