Wie Benutzer ablaufen
Informationen für Lehrstuhl-Admins zur Löschung und Verlängerung von Benutzern
Ab Herbst 2017 werden wir den neuen automatischen Ablauf- und Löschprozess für Benutzerkennungen einführen. Somit werden Kennungen automatisch gelöscht, sobald sie nicht mehr benötigt werden.
Was muss der Lehrstuhl-Admin tun, damit seine Benutzer nicht gelöscht werden?
Über die Strukturdatenbank können Admins ihre Benutzer und deren Status im Blick behalten. Der Überblick mit allen für diesen Zweck nötigen Spalten ist über die URL https://rbgwebapp.in.tum.de/struktur/treeview/cit-ce.ABC.user?c=valid,status,dateexpire,tumuid erreichbar. In der URL kann 'ABC' durch das gewünschte Lehrstuhllabel ersetzt werden und "cit-ce" durch das Department. Am besten diese URL bookmarken.
Die Liste kann auch über die Startseite https://rbgwebapp.in.tum.de/struktur/treeview erreicht werden durch Auswahl des Punktes 'user' unter einem Lehrstuhl, dann müssen die Spalten über 'Columns' noch einzeln eingeblendet werden.
Um zu verhindern, dass Nutzer fälschlicherweise ablaufen, sollten Sie hin und wieder die folgenden Punkte überprüfen:
- Sind alle Benutzer aufgelistet oder fehlen welche? Eventuell sind Benutzer falschen Lehrstühlen zugeordnet.
- Tumuid: Soweit bekannt, sollte bei allen Nutzern die TUMonline-Kennung hier eingetragen sein. Dann benutzen wir die TUMonline-Datenbank, um automatisch das dateexpire immer wieder zu erweitern, solange der Benutzer noch als Mitarbeiter gelistet ist.
- Dateexpire (Ablaufdatum): Wenn dies in der Vergangenheit liegt, wird der Benutzer bei der nächsten Gelegenheit gesperrt. Wenn die automatische Verlängerung (siehe Punkt 2) nicht funktioniert, können Sie dieses Datum selbst hochsetzen.
- Status: S für Studenten, W für wissenschaftliche und nichtwissenschaftliche Mitarbeiter, G für Gäste. Die automatische Verlängerung (siehe Punkt 2) funktioniert nur, wenn der Status hier nicht im Widerspruch zu TUMonline steht. Wenn die Daten, wie z.B. Ablaufdatum oder Löschstatus, falsch sind oder aktualisiert werden müssen: Tumuid und Dateexpire können Sie als Admin selbst ändern (Klick auf den Benutzer und dann 'Update', siehe auch StrukturDBfuerLehrstuhlAdmins).
Der Status kann nicht direkt geändert werden, sondern wie im folgenden beschrieben über einen Antrag.
Antrag zur Übernahme von Studentenaccounts, Accounts von anderen Lehrstühlen, oder ehemaligen Mitarbeitern
Manche Kennungen haben einen falschen Status, normalerweise in den folgenden Fällen:
- Kennungen von Informatik-Mitarbeitern, die als Student eine Kennung hatten: Hier muss der Status auf 'W' gesetzt werden
- Kennungen von Mathematik-Mitarbeitern, die als Student eine Informatik-Kennung hatten: Hier müssen wir eine Mathematik-Kennung mit Status 'W' anlegen (und bei Bedarf auch die Informatik-Kennung auf Status 'W' ändern) – Vereinfachungen sind für die weitere Zukunft schon geplant
- Kennungen von Mathematik-Hiwis, die als Student eine Informatik-Kennung haben: Hier muss eine Mathematik-Kennung mit Status 'S' angelegt werden
- Kennungen von ehemaligen Mitarbeitern, die als Gast weiter am Institut zu tun haben: Hier muss der Status auf 'G' geändert werden
- Kennungen von Mitarbeitern oder Gästen, die den Lehrstuhl gewechselt haben
In allen Fällen bitten wir darum, einen Benutzerantrag über einen der folgenden beiden Links einzureichen, ganz ähnlich wie bei neuen Benutzern. Bitte insbesondere auch angeben, zu welchem Datum der Mitarbeiter angefangen hat bzw. wann er zum Gast wurde. - Antragsformular für neuen Account bzw. weiteren Account
- Antrag zur Neuzuordnung eines existierenden Benutzers
Falls das Webformular nicht infrage kommt, kann in Ausnahmefällen auch noch die alte Papierform gewählt werden. Die dazu passenden Formulare gibt es auf der RBG-Homepage. Bitte auch bei der Papierform die Daten angeben wie im obigen Absatz beschrieben.
Dadurch, dass Benutzer nicht ohne Antrag einem Lehrstuhl zugeordnet werden, haben die Lehrstuhl-Admins die Kontrolle darüber, welche Benutzer ihrer org-Einheit zugeordnet sind.
Nachdem ein Benutzer einem Lehrstuhl zugeordnet wird, muss der Lehrstuhl-Admin noch den 'printaccount' beim Benutzer einstellen, wenn es gewünscht ist, dass der Benutzer auf Lehrstuhlkosten drucken können soll.
Gastanträge beim Personalbüro reichen nicht aus. Diese Anträge liegen der RBG nicht vor, d.h. die Kennungen werden trotzdem gelöscht.
Was passiert, nachdem das Ablaufdatum überschritten ist?
Unser Alterungsmechanismus arbeitet alle abgelaufenen Kennungen zu bestimmten Zeitpunkten einmal pro Woche ab und markiert sie als 'zur Löschung vorgemerkt'. Damit beginnt der Ablaufvorgang.
Als erstes werden die Lehrstuhl-Admins eine Mail erhalten, für welche Benutzer der Ablaufvorgang begonnen hat. Wir versuchen die Ablaufdaten derart zu häufen, dass diese Mail im Regelfall 4 mal im Jahr kommt, um die Admins nicht mit unnötigen Mailfluten zu belasten. Die Mails werden an die Adresse geschickt, die in der StrukturDB als 'admin_mail' in der org-Einheit eingetragen ist.
Wir bitten die Admins, die Mails durchzuschauen, um sicherzugehen, dass keine Benutzer fälschlicherweise gelöscht werden, und auch um zu reagieren, wenn bei anderen Einträgen der Betreuer geändert werden muss (siehe unten).
Zu diesem Zeitpunkt kann der der Admin den Löschprozess noch aufhalten (wie in den obigen Abschnitten beschrieben), ohne dass der Benutzer etwas merkt oder etwas tun muss.
Etwa ein bis zwei Wochen später werden die Benutzer per Mail darüber informiert, dass die Kennung abläuft.
30 Tage später wird die Kennung dann deaktiviert (in der Benutzerdatenbank: valid=0). Damit ist sie unbenutzbar. Kurz davor erhalten die Benutzer eine zweite Warnungsmail.
Weitere 30 Tage später wird die Kennung gelöscht.
=> Wenn alle Benutzer ihre Informatik- bzw. Mathematik-Mailbox mindestens alle paar Wochen lesen, trifft sie die Löschung also nie unvorbereitet.
Was gibt es zu beachten, wenn ein Account gelöscht wird?
- Oft sind die veralteten Benutzer noch als Betreuer eingetragen für andere Benutzer oder Hosts, Projektkennungen, Gruppen, o.ä. Damit unsere Strukturdatenbank übersichtlich bleibt, bitten wir darum, beim Ausscheiden dieser Betreuer immer dafür zu sorgen, dass überall der Nachfolger als Betreuer eingetragen wird. Sie können die betreuten Einträge auflisten, wenn Sie bei dem Betreuer in der Benutzerdatenbank auf 'Show references to this Eintrag' klicken. Außerdem werden Sie per E-Mail benachrichtigt, wenn ein ablaufender Benutzer noch als Betreuer eingetragen ist.
- Hosts, wo der Benutzer als 'Besitzer' aufgelistet ist statt als 'Admin', werden über die oben beschriebene Methode nicht aufgelistet. Das liegt daran, dass 'Besitzer' ein Freitextfeld ist und auch Namen enthalten darf, die der Benutzerdatenbank nicht (mehr) bekannt sind, weil z.B. Laptops gelegentlich noch irgendwo rumliegen, bis sie irgendwann deinventarisiert oder neu vergeben werden. Sie sollten hin und wieder also die Hosteinträge des Lehrstuhls durchgehen und schauen, ob sie gelöscht werden können.
- Alte Dateien, die dem Benutzer gehören, befinden sich gelegentlich nicht nur in der Rechnerhalle, sondern auch auf Lehrstuhlservern. Wenn der Benutzer gelöscht wird, sollten die Dateien entweder gelöscht oder gechownt (change owner) werden.
- Wir entfernen automatisch die folgenden Verzeichnisse: Heimatverzeichnis in der Rechnerhalle – oder in der Mathematik auf dem Lehrstuhl-Fileserver; Mailboxen auf den Mailservern der RBG.
Benutzer manuell löschen
Sie können den Lösch-Vorgang für Benutzeraccounts selbst anstoßen. Das kann zum Beispiel hilfreich sein, wenn Sie nicht auf das Ablaufdatum warten wollen, oder wenn ein Account fälschlich oder doppelt angelegt wurde.
Um einen Benutzer zu löschen, gehen Sie auf den Eintrag in der StrukturDB ('Go to'), klicken auf Update, und setzen den Lösch-Status auf 'vorgemerkt'. Danach wird der Nutzer behandelt, wie wenn das Ablaufdatum erreicht ist: Zuerst erhalten die Admins noch einmal eine Mail, dann erhält der Nutzer eine Mail, danach wird er nach 30 Tagen deaktiviert.
Das funktioniert nur mit Benutzern, die korrekt Ihrem Lehrstuhl zugeordnet sind.