Active Directory — Yeni Başlayan ve İşten Ayrılan Personel İşlemleri
Active Directory Domain Services (ADDS) Microsoft tarafından geliştirilen “kimlik yönetim rolü” hizmetidir. Kurumlarda çalışan sayısı az yada fazla olsun şirket ortamları için her zaman kullanılmasında büyük fayda gördüğüm bir üründür. Kurum içerisinde merkezi yönetimin yapılabilmesi, yetki kontrolünün sağlayanabilmesinin yanında güvenlik sıkılaştırması gibi bir çok teknik özellikleri öne çıkarken, kurumsal mimarilerde personel işlemleri için de yoğun kullanılan bir servistir. Ancak KOBİ ölçeğinde Active Direcory kullanan işletmelerde gözden kaçan kısmı personel işlemlerindeki sorumluluğu ve faydasıdır. Yoğun personel girdi-çıktısı olan iş yerlerinde Bilgi İşlem departmanlarına personel işlemi külfet oluştursa da yönetimin ve yasal sürecin elde tutulması, insan kaynakları ve bilgi işlemin ayaklarının yere sağlam basması yani hesap verilebilirlik için bir o kadar da gereklidir.
Sadece girdi-çıktı sirkülasyondan bağımsız şirket küçülüyor yada büyüyor ve yine Bilgi İşlem departmanlarına bu durum iş yükü olarak yansıyor. Danışmanlığını yaptığım bazı KOBİ ölçeğindeki şirketlerde personel değişimlerinde bu servisin doğru kullanılmadığına çok kez şahit oldum. Uyarısını yaptığımda ise “burası banka mı?” gibi saçma cevaplar dahi aldım. Örnek olarak bir çalışan sorunlu bir şekilde işten ayrılıyor ve yerine yeni bir personel işe başlıyor. Eski çalışanın mailbox (eposta hesabı ve kutusu) ve eski dosya taşıma işlemleri ile uğraşmak istenilmediği durumlarda yetki seviyesi de aynı ise genelde Ahmet kişisi ayrılsa bile Ahmet’in kullanıcısı ile yerine yeni işe başlayan Aslı personeli devam etmekte. Bu uygun olmayan bir durum ve Bilgi İşlem departmanı ile birlikte bir silsile halinde birilerinin başını ağrıtabiliyor hatta yakabiliyor. Bir işletmede sorunlu ayrılan bir personel mahkemeye gitmiş ve olaylar silsilesi hem insan kaynaklarının hem bilgi işlem personelinin hem de genel müdürün başını yakmıştır. Mahkemenin bilgilerini ve yetkilerini dair log kaydı ve kanıt istediği ayrılan personelin Active Directory’e kayıt edilmiş bilgileri bulunmamaktaydı ve verebilecek bir bilgi de yoktu. Bilirkişi incelemesinde bu işte ihmali bulunan I.T personeli, IK Müdürü ve Genel Müdürün işlerini kaybetmesine sebep oldu. Belki bu uç bir örnek olabilir ama aynı zamanda hesap verilebilirliği tehlikeye atar. Malum artık KVKK (Kişisel Verilerin Korunma Kanunu) denilen bir regülasyon var. Benzer durumların yaşanmaması için kısa bir tavsiye niteliğindeki bu yazıyı yazmak istedim.
Yeni Başlayan Personel İşlemleri
İlk iş gününü yapacak olan ve bilgisayarını vb. cihazını kullanmaya başlayacak ilgili personelin kendi adı ve soyadına ait Active Directory konsolunda hesabını açarak yetkisi dahilinde yapacağı işlemler için grup bazlı yada kişi bazlı izinler atanarak personelin hesabı üye yapılır. Eğer ilgili ünvanda kendisinden önce çalışan birisi var ise önceki çalışanın bilgileri ile sisteme erişmesine izin verilmez ancak kolaylık olsun diye hesap kopyalanır ve yeni oluşturulacak hesap bu bilgiler ve yetkileri dahilinde referans alınabilir. Eğer bağlı bulunduğu bir müdür, yönetici vs. var ise Organization sekmesinden tanımlanır, bu kısım şart değil ama bazı Exchange Server, CRM ve PMS uygulamaları bu yetkiler ile entegre çalışıyor. Yine personelin insan kaynakları tarafından size iletilen bilgileri dahilinde diğer sekmelerdeki telefon, kat bilgisi, departman bilgisi, home folder vs doldurulur. Tüm bu süreçler insan kaynaklarından yazılı olarak temin edilmelidir ve yazışmaları müzakere edilen süre çerçevesinde saklanmalıdır. Bazı kurumlar TC kimlik no, kan grubu gibi bilgileri de Active Directory üzerinde tutabiliyor. Bu durum KVKK hassasiyeti düşünülerek ele alınmalıdır.
İşten Ayrılan Personel İşlemleri
Yine insan kaynakları tarafından işten ayrıldığının bildirimi yapılan personelin derhal Active Directory hesabı “disable” yani devre dışı durumuna getirilir. Var ise mailbox ve dosyalarının yedeği alınarak dosya sunucusundaki Home klasörüne veya yedek konumuna çekilir. Var ise grup üyelikleri düşürülür. Disable duruma getirilen hesap, kişinin şirketteki önem derecesine göre en az 3 ay süreyle bu haliyle tutulur ve insan kaynaklarının onayı ile belirlenen sürecin sonunda silinir. Bazı şirketler silmeyip arşivlemeyi de tercih edebiliyor. Şirket e-posta hesabı var ise yerine başlayan bir personel olursa ona yönlendirilir yok ise sorumlusuna yönlendirilir ki işten ayrıldıktan sonra şirketinizi zor duruma düşürebilecek bir mail almanız durumunda hızlı tepki verebilin. Yönlendirme süresi yine en az 3 ay süreyle yapılmalıdır. Personel sayısı fazla olan yerlerde bu dosyaları zamanla tutmak disk alanı açısından sorun olduğundan süreci iyi yönetmek gerekmektedir. Tabi tüm bu süre tanımları insan kaynakları, yönetim ve hukuk ekibiyle müzakere edilerek belirlenmelidir.
İşten Çıkartılan Personel İşlemleri
Bu sevmediğim ve çok tercih etmediğim bir durum olsa da şirketinizden size “bu şahsın dosyalarını ve maillerini silmesini engellemeliyiz” şeklinde atarlı bir talep gelebilir. İlgili kişi işten çıkartılacağından habersiz olduğundan bu durum ona bildirim yapıldığında ani tepkiler verebilir. Maillerini silebilir, küfür dolu maili tüm müşterilere atabilir, gizli bilgilerin çıktısını alabilir vs vs. Hassas bir durum olduğu için buradaki iç senaryolara girmeyeceğim ama bu tip durumlara engel olmak için en akla yatan senaryo şu şekilde olabilir; İlk olarak çıkartılan personelin hesap durumu Active Directory üzerinden yine “disable” yapılır. Bu durumda şirket e-posta hesabı kullanıyor ve Active Directory ile entegre ise online mailbox üzerinde bir işlem yapsa bile sunucuda bir kopyası kalacaktır ve değiştiremeyecektir, ancak bunlar dışında bir senaryoda kişinin bilgisayarında oturumu zorla kapattırmanız gerekiyor. Zorla ile kastım güvenlik gelip kafasına çökmeyecek :) (bunu yapan vizyonsuzlar da eminim vardır) bu işlemi siz ”Başlat>Çalıştır> Shutdown -i“ komutu ile ilgili bilgisayar adını doğru yazarak aşağıdaki gibi uzaktan kapatılmasını yada oturumu kapatmasını sağlayabilirsiniz. Bu işlem için en az Domain Admin yada Lokal Admin yetkisi gerekir.
En garantisi kapatmaktır. İlgili personelin bilgisayarının kapanıp kapanmadığını ping atarak yoklayabilirsiniz. Kullanıcı tekrardan bilgisayarında oturum açmaya çalıştığında hersabının devre dışı bırakıldığını görecek ve sizi arayacak. Bu andan sonra bildirimin yapılması işlemi için insan kaynaklarına aktarabilirsiniz. Eğer bu bilgisayar bir dizüstü makine ise c$ yolunu kullanarak arkaplanda sessiz sakin yedek almayı ihmal etmeyin. Tabi bu işleri akşam personelin işte olmadığı saatlere de yapabilirsiniz ama genelde tercih mesai içerisinde bildirim yaparak işten çıkartma uygulandığı için bu yöntemler kullanılıyor. Çıkartılan personel konusu hassas olduğu için verilerinin en az 6 ay süreyle tutulmasını tavsiyemdir. Sürenin artırılıp azalatılması kararını insan kaynakları ve yönetimle verilmelidir. Bundan sonraki süreçte işten ayrılan personel ile ilgili insan kaynakları bildirim yapabilir. Veri güvenliği için bu süreci kağıt üstünde bir protokol haline getirip yönetime de onaylatmalısınız…
