NMBS/SNCB Active Directory & Mail
User account Creation & Transfer
By Windows CC – February 2011
Version 1.3
Document Revision
Version Date Authors Reason
1.0 02.02.2011 Samper Stephane Initial Document
1.1 04.02.2011 Nahon Kris & De Saeyer Rik Review
1.2 11.02.2011 Samper Stéphane Review To Do Order
1.3 01.03.2011 Samper Stéphane Review To Do Order
Introduction
Depuis la mise en place du projet « ConformIT », ICTRA doit revoir les procédures en ce qui concerne la gestion des utilisateurs au sein de l’Active Directory.
De plus, avec la migration vers Exchange/Outlook, il est primordial de revoir et de repenser la manière de gérer ces utilisateurs (e.g. le transfert des utilisateurs entre société).
En effet, il faut savoir que le mail est maintenant directement lié à l’utilisateur dans l’AD et que lorsque l’on supprime un account ayant un lien avec une adresse mail « Exchange », on supprime également ce lien. On se retrouve alors dans Exchange avec des entrées qui ne sont plus correctes puisqu’un « link » veut se faire entre un utilisateur et une mailbox qui n’existe plus !!
Pour éviter cela, et afin de faciliter la gestion User/Mail, une nouvelle interface web (Windows Delegated Account Management (DAM)) est en cours de développement. Les BSM et les responsables de la gestion des utilisateurs (bureau HR par exemple) y auront accès dès que possible.
Procédure actuelle
En attendant la nouvelle interface Windows DAM, il vous est demandé de travailler de la manière suivante dans l’Active Directory :
1) Lors de la mutation d’une personne vers une autre société du Groupe SNCB (Ex : un utilisateur de la SNCB-Holding part pour Infrabel) :
a. l’ancien « employeur » doit exécuter les actions suivantes au niveau du « User account » :
i. Pour sa Mailbox :
1. Aller dans « TWAdminTool » et supprimer-la.
ii. Dans « ARES », supprimer les différentes autorisations /accès dont l’utilisateur dispose :
1. Accès Internet ;
2. Accès Wifi ;
3. Accès VPN.
iii. Dans l’Active Directory :
1. Renommer cet utilisateur en « OLD_Username » ;
2. Le déplacer dans l’OU « OUT OF SERVICE » ;
3. Puis le désactiver. !! Il ne faut surtout pas le supprimer !!
b. Le nouvel employeur doit faire les mêmes demandes (Mailbox + les différents accès aux ressources) que pour un nouveau collaborateur :
i. Dans l’Active Directory :
1. Recréer le « User account », ce sera le même qu’auparavant puisqu’il conserve le même numéro d’identification ;
2. Lui attribuer les groupes AD dont il a besoin pour accéder aux différentes ressources nécessaire à son travail.
ii. Pour sa Mailbox :
1. Aller dans « TWAdminTool » et recréer sa Mailbox ;
2. Lui donner les autres autorisations nécessaires (Fax,sms, …).
iii. Dans « ARES » afin de lui donner les autorisations nécessaires (Internet, Wifi, etc..)
2) Lors de la mutation d’une personne entre les différentes unités au sein de la même société du Groupe SNCB (Ex : un utilisateur quitte ICTRA pour H-HR). L’account sera transféré d’une unité à l’autre. Marche à suivre :
a. L’ancien « employeur » doit exécuter les actions suivantes au niveau du « User account » :
i. Dans « ARES », supprimer les différentes autorisations /accès dont l’utilisateur dispose :
1. Accès Internet ;
2. Accès Wifi ;
3. Accès VPN.
ii. Dans l’Active Directory :
1. Supprimer l’ensemble des groupes liés à l’ancienne unité, à l’exception de « Domain Users » , de « HoldingUsersG » et OutlookG (« InfrabelUsersG » pour Infrabel et « BUsersG » pour SNCB/NMBS) ;
2. Déplacer le « User account » dans l’OU « Intra Unit transfert » qui se trouve sous « 8 HOLDING » ; (ou « 40 Infrabel », « 60 Sncb-Nmbs »).
iii. Pour la Mailbox :
1. Outlook/Exchange : Vérifier que vous avez vraiment supprimé les liens avec les différents groupes de collaboration (unit_FG :…-DL). Normalement, c’est déjà fait au point précédent.
2. TeamWare : AdminTool transferout
b. Les responsables de la nouvelle unité pourront donc reprendre le « User account » :
i. Dans l’Active Directory :
1. Le mettre dans la bonne « OU » ;
2. Lui attribuer les groupes AD dont il a besoin pour accéder aux différentes ressources nécessaires à son travail.
ii. Pour la Mailbox :
1. Outlook/Exchange : lui attribuer les groupes AD dont il a besoin pour accéder aux différentes ressources de collaboration (unit FG :…-DL, accès calendrier ressource, email notification, ..). Normalement, c’est déjà fait au point précédent ;
2. TeamWare : AdminTool transferin.
iii. Dans « ARES », afin de lui donner les autorisations nécessaires (Internet, Wifi, etc..).
3) Si un utilisateur externe ayant un « User account » externe (Ex : EXA001) devient interne, il reçoit alors un nouveau numéro d’identification et son « Username » doit être modifié dans l’Active Directory. Pour cela, il est nécessaire d’effectuer les actions suivantes :
a. Dans l’Active Directory :
i. renommer son ancien « User account » (Ex : EXA001) par le nouveau, en fonction du numéro d’identification qui lui sera attribué;
ii. ouvrir un CALL afin que le Local Support puisse faire le transfert du profil Local de l’utilisateur.
iii. Pour son User account et sa Mailbox:
iv. prévenir ICTRA.323 Windows Competence Center via un mail à la mailbox fonctionnelle « 11.215:FMB NT Competence Center Request ».
b. Dans « ARES » :
i. Contrôler et faire le nécessaire pour le transfert des de l’ ancien account vers le nouvel account.
Afin de s’assurer, lors de la mutation d’un agent, qu’il ne dispose de plus aucun accès (Mail, Fileshare, etc..) relatif à son ancien employeur, il est important de suivre cette procédure. Par la suite, l’application « Windows DAM » permettra de faire tout cela de manière plus ou moins automatique.
Par cette procédure, l’OU actuellement utilisé pour le transfert des accounts, « Inter Unit Tranfert », n’a donc plus d’utilité.
