NMBS/SNCB Active Directory & Mail
User account Creation & Transfer
By Windows CC – February 2011
Version 1.3
Document Revision
Version Date Authors Reason
1.0 02.02.2011 Samper Stephane Initial Document
1.1 04.02.2011 Nahon Kris & De Saeyer Rik Review
1.2 11.02.2011 Samper Stéphane Review To Do Order
1.3 20.02.2011 Samper Stéphane Review To Do Order
Bonjour,
Depuis la mise en place du projet « ConformIT », nous devons revoir les procédures en ce qui concerne la gestion des utilisateurs au sein de l’Active Directory.
De plus, avec la migration vers Exchange/Outlook, il est primordial de revoir et de repenser la manière de gérer ces utilisateurs (e.g. le transfert des utilisateurs entre société).
En effet, il faut savoir que le mail est maintenant directement lié à l’utilisateur dans l’AD, et que lorsque l’on supprime un account ayant un lien avec une adresse mail « Exchange », alors on supprime également ce lien, et on se retrouve dans Exchange avec des entrées qui ne sont plus correctes puisqu’un « link » veut se faire entre un utilisateur et une mailbox qui n’existe plus !!
Pour éviter cela, et afin de faciliter la gestion User/Mail, une nouvelle interface web (Windows Delegated Account Management (DAM)) est en cours de développement et vous sera donné, à vous ou aux responsables de la gestion des utilisateurs (bureau HR par exemple), dès que ce sera prêt.
Mais pour le moment et afin d’éviter des problèmes, il vous est demandé de travailler de la manière suivante au sein de l’Active Directory :
1) Lors de la mutation d’une personne vers une autre société au sein du groupe SNCB (e.g. un utilisateur du Holding part pour Infrabel) :
a. Il est nécessaire pour l’ancien « employeur », d’exécuter les actions suivantes au niveau du « User account » :
i. Pour sa Mailbox :
1. Aller dans « TWAdminTool » et supprimer la.
ii. Dans « ARES », pour lui supprimer les différentes autorisations /accès dont il dispose :
1. Accès Internet ;
2. Accès Wifi ;
3. Accès VPN.
iii. Dans l’Active Directory :
1. Renommer cet utilisateur en « OLD_Username » ;
2. Le déplacer dans l’OU « OUT OF SERVICE » ;
3. Puis le désactiver. !! Il ne faut surtout pas le supprimer !!
b. Le nouvel employeur doit donc faire une demande (Mailbox + les différents accès aux ressources) comme pour un nouveau collaborateur ;
i. Dans l’Active Directory :
1. Recréer le « User account », ce sera le même qu’auparavant puisqu’il conserve le même numéro d’identification ;
2. Lui attribuer les groupes AD dont il a besoin pour accéder aux différentes ressources nécessaire à son travail.
ii. Pour sa Mail Box :
1. Aller dans « TWAdminTool » et recréer sa Mailbox ;
2. Donner lui les autres autorisations nécessaires (Fax,sms, …).
iii. Dans « ARES » afin de lui donner les autorisations nécessaires (Internet, Wifi, etc..)
2) Lors de la mutation d’une personne entre les différentes unités au sein de la même société du groupe SNCB (e.g. un utilisateur quitte ICTRA pour HR), L’account sera transférer d’une unité à l’autre mais pour cela il faut :
a. Pour l’ancien « employeur », exécuter les actions suivantes au niveau du « User account » :
i. Dans « ARES », pour lui supprimer les différentes autorisations /accès dont il dispose :
1. Accès Internet ;
2. Accès Wifi ;
3. Accès VPN.
ii. Dans l’Active Directory :
1. Supprimer l’ensemble de ses groupes liés à l’ancienne unité, à l’exception de « Domain Users » , de « HoldingUsersG » et OutlookG (« InfrabelUsersG » pour Infrabel et « BUsersG » pour SNCB/NMBS) ;
2. puis déplacer son « User account » dans l’OU « Intra Unit transfert » qui se trouve sous « 8 HOLDING » ; (ou « 40 Infrabel », « 60 Sncb-Nmbs ») ;
iii. Pour sa Mailbox :
1. Outlook/Exchange : Vérifier que vous avez vraiment supprimé les liens avec les différents groupes de collaboration (unit_FG :…-DL). Normalement déjà fait au point précédent.
2. TeamWare : AdminTool transferout
b. Les responsables de la nouvelle unité pourront donc reprendre le « User account » :
i. Dans l’Active Directory :
1. Le mettre dans la bonne « OU » ;
2. Lui attribuer les groupes AD dont il a besoin pour accéder aux différentes ressources nécessaire à son travail ;
ii. Pour sa Mail Box :
1. Outlook/Exchange : Lui attribuer les groupes AD dont il a besoin pour accéder aux différentes ressources de collaboration (unit_FG :…-DL, accès calendrier ressource, email notification, ..). Normalement déjà fait au point précédent.
2. TeamWare : AdminTool transferin
iii. Dans « ARES » afin de lui donner les autorisations nécessaires (Internet, Wifi, etc..)
3) Si un utilisateur qui était auparavant externe, et ayant un « User account » externe (e.g. EXA001), devient interne, il reçoit alors un nouveau numéro d’identification et son « Username » doit changer dans l’Active Directory, pour cela, il est nécessaire d’effectuer les actions suivantes :
a. Dans l’Active Directory :
i. Renommer son ancien « User account » (e.g. EXA001) par le nouveau, en fonction du numéro d’identification qui lui sera attribué
ii. Ouvrez un CALL afin que le Local Support puisse intervenir chez l’utilisateur et faire le transfert de son profil Local. Une fois que le Local support a terminé
iii. Pour son User account et pour sa Mailbox:
1. Veuillez prévenir le centre de compétence H-ICTRA.323 – OSU Infra –Windows Competence Center via un mail au mailbox fonctionnelle « 11.215:FMB NT Competence Center Request »
iv. Dans « ARES » :
1. Veuillez contrôler et faire le nécessaire pour le transfert de ses accès de son ancien account vers son nouvel account.
Afin de s’assurer, lors de la mutation d’un agent, qu’il ne dispose de plus aucun accès (Mail, Fileshare, etc..) relatif à son ancien employeur, il est important de suivre cette procédure. Ce processus sera fait de manière automatique dans la nouvelle interface Windows DAM mais en attendant, il vous est donc demandé de suivre cette procédure.
Par la suite, l’application « Windows DAM » permettra de faire tout cela de manière plus ou moins automatique, en effet, selon l’action qui sera demandé, les différents processus qui y sont attachés se feront automatiquement !!
Par cette procédure, l’OU actuellement utilisé pour le transfert des accounts, « Inter Unit Tranfert », n’a donc plus d’utilité.
ICTRA.323 – OSU Infra as a Service – Windows Competence Center
ICTRA: ICT for RAIL
