Benutzerkonten auf zentralen Systemen bei DESY

Dieses Dokument beschreibt Grundsätzliches zu Benutzerkonten auf zentralen Rechnersystemen und Benutzerdaten.

Einrichten von Benutzerkonten

Zur Verwendung eines Benutzerkontos, d.h. der Benutzung der zentral verwalteten Rechnersysteme bei DESY, muss jeder Benutzer zunächst im Identitiy Access Management (IAM) durch das Gruppensekretariat oder V1 registriert werden. Die Registrierung des Benutzeraccounts  in der Registry erfolgt durch den Namespace Supervisor der Gruppe. Nach der Erstellung eines Benutzerkontos wird das Registrierungsformular über die Registry ausgedruckt, vom Benutzer sowie einem Namespace-Supervisor der jeweiligen Benutzergruppe unterzeichnet  und an das UCO geschickt.  In  wenigen Ausnahmefällen kann UCO ein Benutzerkonto einrichten, siehe Abschnit unten. Die Liste der Administratoren ist im Web unter Liste der Computer-Administratoren nur im internen DESY-Intranet zu finden.
Ausführliche weitere Account-Informationen siehe auch D4-Webseiten, Sicherheit und Datenschutz  -> RSR - Regeln und Empfehlungen - Account Regeln

Befristung von Benutzerkonten

Wenn die Tätigkeit eines neuen Benutzers befristet ist, werden Benutzerkonten für die Dauer der Tätigkeit bei DESY eingerichtet. Für Benutzer mit unbefristeter Tätigkeit wird das Konto mit einer Gültigkeit von 3 Jahren eingerichtet. Es kann rechtzeitig wieder für 3 Jahre verlängert werden.

Die Befristung kann bei Bedarf geändert werden, insbesondere beim Ausscheiden des Benutzers, s.a. Abschnitt  "Ausscheiden von Benutzern". Supervisoren können die Befristung von Benutzerkonten ihrer Gruppe verändern. Das Rechenzentrum - vertreten durch das UCO - kann im Notfall Befristungen für alle Benutzer ändern. Verlängerungen um eine kurze Frist wird das UCO freihändig vornehmen, über erhebliche Verlängerungen entscheiden die Supervisoren.

Ablauf von Benutzerkonten

Vor Ablauf eines Benutzerkontos werden dem betroffenen Benutzer  und den Namespace-Supervisoren automatisch diesbezügliche Warnungen per E-Mail zugestellt. Nach Ablauf kann es nicht mehr benutzt werden. Unter dem abgelaufenen Benutzernamen ist auch keine Mailzustellung mehr möglich, die Daten in den Heimatverzeichnissen bleiben jedoch noch für einige Zeit erhalten; s. Abschnitt  "Daten abgelaufener Benutzerkonten".
Falls ein Benutzerkonto unbemerkt ablief oder auch, wenn ein Benutzer nach einigen Jahren ans DESY zurückkommt, kann es reaktiviert werden.

Ausscheiden von Benutzern

Konten von Benutzern, die bei DESY ausscheiden oder die ihre Tätigkeit für DESY beenden, laufen grundsätzlich mit diesem Termin ab.
Wenn Benutzer sie noch nach ihrem Ausscheiden als Beschäftigte bei DESY behalten wollen/sollen bzw. für DESY oder Experimente bei DESY weiterarbeiten, so können die jeweiligen Benutzerkonten weiter genutzt werden. Auf dem Abmeldeformular wird das gewünschte Datum vermerkt; ein Namespace-Supervisor kann es entsprechend einrichten / bestätigt durch seine Unterschrift.
Ausscheidende DESY-Mitarbeiter kommen mit dem üblichen Laufzettel und dem Abmeldeformular ins UCO, um die Unterschrift von IT-Vertretern bzgl. RZ-Ressourcen auf dem Laufzettel zu erhalten. Andere Personen, die DESY verlassen, sollen ebenfalls das Abmeldeformular ausgefüllt zum UCO bringen. Die Gruppen - insbesondere die Experimentgruppen - werden gebeten, entsprechend auf ihre Mitglieder einzuwirken.

Daten abgelaufener Benutzerkonten

Daten abgelaufener Benutzerkonten (Heimatverzeichnisse, Mailboxen)  werden, abhängig von der jeweiligen Plattform, ausgelagert  und sind vor dem Registry-Event AccountArchive (idR 180 Tage nach AccountExpiry) wiederherstellbar.
Daten außerhalb der Heimatverzeichnisse, etwa auf Datenplatten oder temporäre Daten werden von dieser Regelung nicht erfasst.
Zum Backup s. it.desy.de -> Dienste -> Datensicherung

Formular

Nur in sehr dringenden Fällen, beispielsweise, wenn keiner der Administratoren vorort ist,  kann  - sofern der IAM-Eintrag bereits vorhanden ist - UCO einen Account anlegen. Dazu wird das ausgefüllte Registrierungs-Formular mit Unterschrift des Benutzers benötigt.