在经济不景气的时候，很多公司都被迫对他们的职工模式进行重新架构，以适应商品和服务要求的削减。这表示将有大量员工失业，通常是高层管理指定的日期。为了帮助信息安全和IT管理专家操作在规模缩小时产生的混乱的环境，本文中TechTarget中国的特约专家将介绍管理减少大量系统帐户的基本方法。

　　删除用户帐户的挑战

　　在信息安全和IT管理的很多方面，在进行减员方面的注意事项很少或者没有。这就向负责用户帐户管理的人提出了两大挑战。第一个是确定和离职员工相关的每个系统上的所有帐户。第二个是在短时间内禁用或者删除这些帐户，甚至需要在几个小时内完成。

　　成功解决这些问题需要一些高风险的方法。通常，首先考虑用户较多的高风险的目标系统，例如存储了机密客户数据或者带有资金活动能力的系统；低风险的系统，例如账户极少的内部电话簿应该最后考虑。

　　删除用户账户的过程

　　在开始前，确定要删除的帐户。如果公司有SailPoint Technologies Inc.的IdentityIQ 或者Eurekify的Sage等产品，就会很简单。这些认证管理工具可以帮助管理员管理在不同系统上地终端用户的地相关的帐户，并跟据公司政策管理。这些应用可以帮助产生每个系统上离职用户的目标帐户。有些甚至向系统管理员发送删除通知，并自动向供应/反供应产品提供反馈。有了这些工具，第一个挑战就解决了。

　　如果没有人证管理应用或程序，管理员应该开始向每个系统请求要删除的用户。这项工作要花很多时间，取决于系统的数量。为了加速这个过程，在自动对比某个系统上的帐户和新近离职的员工列表之前就准备好脚本。

　　一旦在所有的相关系统上地目标帐户已经确定了，下一步就是删除或者禁用这些账户。查看公司已有的系统，决定这些账户应该禁用还是删除。删除是最完美的，但是公司可能需要保留账户，这可能会有些合理的理由。这些理由包括访问邮件的业务需要和查账索引的连续性需要。这些已经建立的程序需要尽可能的维护连贯性。

　　如果公司已经一个自动的provisioning产品，例如IBM Tivoli的Identity Manager 或者Oracle Corp.的Identity Manager，这些应用可以根据默认的策略禁用或者删除账户。这就和正常程序的进行一样简单，而HR反馈产生一系列的基于员工雇佣状况、工作流程和deprovisioning策略的事件。

　　如果公司没有自动provisioning产品，或者如果只有一个，但是不能和所有系统挂钩，就应该编写脚本。这些脚本应该加入到第一步时产生的目标账户列表上。还应该在比较低的区域进行测试，例如在开发或者QA；中断产品环境比引规模缩小而引起的中断更不明智。

　　提前编写了脚本，并通过就是很大的优势，可以允许合适的开发和测试——在匆忙的情况下，程序的自然组件经常会被牺牲。

　　删除用户账户的最佳方式

　　不管公司的终止程序是怎样的，和HR保持密切的联系都是必要的。通产来说，信息安全和IT管理都不能决定在标准策略之外如何处理账户。如果时间是在标准程序之外，安全部分不应该负责决定哪些账户要删除，或者账户应该在什么时间删除或禁用。例如，基于HR反馈的自动产品在早上五点删除账户，那么安全部门有权利在中午以特别的方式开始这一过程吗？终止的策略应该好好制定并公布。严格遵守政策，没有例外，除非有合适来源的其他书面的指导。这个过程应该尽量客观公正。

　　在离职的情况中，最大的痛苦在于删除那些应该保留的账户。要为这些情况留后路，例如可以恢复账户的程序。还有，确保服务台指导谁是活跃的员工，谁不是。不要给不满的员工有呼叫进来的机会，也不能把他或者她的账户开放或重新安排。

　　如果你的公司是面临的经济危机可能导致在几个月后裁员的企业之一，记住。除了数量之外，程序应该和大家类似。如果没有处理大量员工离职的工具和过程，就应该开始编写脚本，发现账户并禁用或删除账户，然后确定HR已经全面了解了这一过程。