none
Smazaný účet - jak použít jeho adresu jako alias?

    Dotaz

  • Zdravím diskutující. Mám následující problém. Stav - AD synchronizovaná na O365. Odešel zaměstnanec, byl mu smazán účet v AD, tím pádem i v O365. Nový zaměstnanec - > nový účet, vše OK. Nyní ale potřebuji tomuto novému zaměstnanci nastavit jako alias mail toho původního co odešel z firmy. Když mu tento alias nastavím v atributech v AD, DirSync zahlásí chybu, že je kolize s existujícím záznamem v O365. Tak jsem našel, že účet O365 původního zaměstnance je v nějakém mezistavu odebrání. Prý bude odebrán po 30 dnech, nebo je možné jej obnovit. Obnovovat jej nechci, protože bych mu musel zaplatit další licenci. 

    Jak z toho ven?

    Díky.


    • Upravený Michal13 úterý 17. června 2014 13:45
    úterý 17. června 2014 13:44

Odpovědi

  • Smažte uživatele přes PowerShell následujícím příkazem a počkejte cca 30 minut:

    Remove-MSOLUser -UserPrincipalName “Uzivatel” -RemoveFromRecycleBin

    • Upravený PaFkaCZ středa 18. června 2014 11:50
    • Označen jako odpověď Michal13 čtvrtek 19. června 2014 14:53
    středa 18. června 2014 11:49

Všechny reakce

  • Tohle neni primo odpoved na vas dotaz, jen zkusenost. Pokud odejde zamestnanec, tak je dobre ucet jen blokovat.

    M.

    úterý 17. června 2014 15:24
    Moderátor
  • Zdravím,

    co vím, dá se to 2mi způsoby, pokud máte AD pomocí AD FS -

    1) vytvořit distribuční skupinu a dát jednoho člena (ideální pro dočasné řešení)

    2) v ADSI editoru najít zaměstnance a v kolonce PROXY ADDRESS přidat SMTP:ucet@domena.cz jen u tohoto způsobu pozor co je výše = email ze kterého uživatel emaily odesílá. Používám pro dlouhodobé účely.

    Primárně však řeším odchod člověka blokováním a jeho následníkovi přidám delegaci schránky, aby měl přístup i k historickým emailům, které si zkopíruje k sobě a účet máznu až potom a v té době je na účtu nastavený redirect a následně možnost 1 či 2.

    Nevím zda je to best practices, ale funguje to :)

    úterý 17. června 2014 18:03
  • Děkuji za tipy, ale jestli jsem tento scénář pochopil, tak musím mít v jeden okamžik platné dvě licence. Pro odchozího člověka (účet blokovaný, ale z hlediska licencování O365 funkční) a druhou pro nového člověka. Tomu se chci ale vyhnout. Licence se objednává na rok a kvůli několika týdnům, se mi jí nechce objednávat, protože po pár týdnech co jí už nebudu potřebovat jí aktuálně nevyužiji.
    úterý 17. června 2014 20:35
  • Smažte uživatele přes PowerShell následujícím příkazem a počkejte cca 30 minut:

    Remove-MSOLUser -UserPrincipalName “Uzivatel” -RemoveFromRecycleBin

    • Upravený PaFkaCZ středa 18. června 2014 11:50
    • Označen jako odpověď Michal13 čtvrtek 19. června 2014 14:53
    středa 18. června 2014 11:49
  • Michale, ani jeden z mnou uvedených postupů nevyžaduje mít 2 licence zároveň
    1) distribuční skupiny jsou přeci zadarmo - jak máte tedy vytvořené emaily jako info@fima.cz... ?
    2) tady je pouze malá úprava pomocí ADSI a též nevyžaduje další licenci

    Držet 2 licence vyžaduje pouze možnost popsaná potom a to delegace schránky, ale to dělám vždy jen dočasně, než si následovník stáhne emaily (max tyden).

    středa 18. června 2014 21:15
  • Remove-MSOLUser -UserPrincipalName “Uzivatel” -RemoveFromRecycleBin

    Děkuji, tohle je ono. Po ruční synchronizaci AD s O365 funguje okamžitě.

    • Upravený Michal13 čtvrtek 19. června 2014 17:07
    čtvrtek 19. června 2014 14:53
  • Michale, ani jeden z mnou uvedených postupů nevyžaduje mít 2 licence zároveň
    1) distribuční skupiny jsou přeci zadarmo - jak máte tedy vytvořené emaily jako info@fima.cz... ?
    2) tady je pouze malá úprava pomocí ADSI a též nevyžaduje další licenci

    Držet 2 licence vyžaduje pouze možnost popsaná potom a to delegace schránky, ale to dělám vždy jen dočasně, než si následovník stáhne emaily (max tyden).

    Já jsem to asi špatně pochopil. Předpokládám, že máte na mysli, vytvořit skupinu s mailem toho odchozího člověka. To ale právě nejde. 

    čtvrtek 19. června 2014 14:59
  • Dobrý večer,

    je mi jasné, že je asi málo těch, kteří se budou řídit následujícími řádky, ale věřte mi, že mám pravdu a že vím, o čem mluvím. Poštovní zákon některými svými částmi vznikal možná už za Rakouska-Uherska a tím pádem se občas stane, že sice prohřešek provedený nad emailovou schránkou lze - a mnoho firem to tak opravdu dělá - považovat za "drobnost", jenže tresty jsou poměrně tvrdé a vycházejí málem <humor> z vyloupení poštovního dostavníku lupiči v temném hvozdě </humor>.

    Vynechám-li vše ostatní, tak zjednodušeně řečeno není právně možné udělat to, co popisujete - tedy přesměrovat poštu směřovanou na adresu odchozího zaměstnance. Správně by to mělo být tak, že pokud někdo pošle zprávu na adresu schránky, která už u vás neexistuje, pošle poštovní server zpět odesílateli tzv. "bounce" zprávu, ve které kromě informace, že schránka této SMTP adresy již u vás v organizaci není a můžete k ní přidat i informaci, na koho se může odesílatel obrátit - např. na nástupce, který pracuje na stejné pozici. Jakýkoli jiný postup je protiprávní a pokud vím, nedá se ani nijak právně ošetřit.

    O tom, že byste připojili schránku jednoho uživatele někomu jinému, o tom už se nemá smysl bavit vůbec. Zaměstnavatel má právo sledovat maximálně to, kam a komu - tedy na jaké adresy vaši uživatelé posílají e-maily. Pokud byste k této informaci chtěli mít k dispozici např. předmět e-mailů, potom je nutné toto řešit dodatkem v pracovní smlouvě, kde je to tom zaměstnanec informován a musí tuto informaci potvrdit podpisem. O tom, že by někdo vlezl do pošty někoho jiného, resp. že byste připojil schránku jednoho uživatele někomu jinému, na to opravdu rovnou zapomeňte.

    Ale i zde platí rčení, že tam kde není žalobce, tam není ani soudce. A proto, pokud se dohodnete a domluvíte, je to asi jedno, i když pořád nesete plnou právní zodpovědnost a jste právně napadnutelní. Ani nechci ale pomyslet na to, že schránka o které se tu bavíme je např. od někoho, s kým jste byli nespokojeni, vyhodili jej, on se tohle všechno nějak dozvěděl a stane se tím před kým zde varuji, tedy žalobcem. A nezapomeňte, že stále žijeme v post-komunistické zemi, kde soud vždy chrání chudého zaměstnance před hnusnou velkou korporací a přesvědčit je o opaku je velmi obtížné. Koneckonců, politika naprosté podpory pro udavačství ze strany jak státu, tak BSA (trestní oznámení a odměna v procentech za udání nelegálního software), ta mluví myslím naprosto za vše.

    PS: Omluvte mě za moji obsáhlost, ale o tomto se málo píše a podle mě je to rozhodně škoda a minimálně správci by toto měli vědět.

    S pozdravem, Martin Pavlis


    Martin Pavlis | Senior IT Key Account Manager KPCS CZ | http://www.kpcs.cz | http://www.exchange4u.cz

    sobota 28. června 2014 9:03
    Moderátor
  • Dobrý den,

    velmi zajímavá úvaha, avšak pokud po Vás zaměstnavatel chce prostě udělit přístup, máte mu říct ne a dát výpověď? Protože se najde někdo, kdo ten přístup udělí.... Takže by bylo asi nejlepší dát do prac. smlouvy dodatek, že veškerá pošta na firemním emailu může být kontrolována případně předána jinému pracovníkovi po schválení vedením? Nebo při odchodu nechat zaměstnance podepsat možnost libovolně nakládat s jeho emailovou korespondencí na firemním emailu, avšak pouze pro čtení bez možnosti odpovídat jeho jménem. To už by bylo právně OK? 

    A k tomu předávání emailů někomu jinému, opět ten stejný problém - zákazník pošle email a vidí nedoručené, pošle to tak jednou, dvakrát a bude "nespokojený" a začne si stěžovat, že MAME ROZBITE EMAILY, aniž by si přečetl "bounce" zprávu, opět je jednoduší přeučit zákazníky pomale.
    (podobně jako při svatbě a změně příjmení) Doopravdy to všude řešíte přímo zakázáním emailů a bounce zprávou? 

    Díky za info :)

    sobota 28. června 2014 20:29