Что делать при увольнении системного администратора?

В первую очередь — выплатить все положенные суммы и не пытаться что-то зажать, пусть даже и человек работал хреново. То есть, как можно более мирно расстаться. Нормальный админ после этого просто не будет пакостить, а ненормального это задержит хотя бы на пару деньков, а вы за это время и пароли смените, и правилам на файрволле ревизию сделаете. Самые клинические случаи, конечно, исключение, и тут вам самим решать.

Кстати насчет задач, их проверить точно стоит. Даже не по злому умыслу, задачи могут запускаться из под учетки админа. И после её блокировки перестанет создаваться, например, бэкап ряда БД.

Согласен с demimurych и добавлю что в Windows тоже можно очень хитро спрятать много чего…

Вот параноя-вариант: где то (к примеру) в потолке (над потолочными плитами) стоит маленький неттоп который недокументированно врезан в сеть и к нему подключен gprs модем. Далее удаленно на него поступает команда и к примеру через протокол X10 по электросети или по Eternet'у бежит команда немного доработанному UPSу ресетнуть рабочий сервер, а там в биосе стоит загрузка по PXE первой (кто когда это проверит на боевом сервере? :) ). Далее с PXE-сервера на неттопе рабочий сервер грузит нужную ОС, немного автоматики и вуаля — доступ получен обратно ;) (какой бред только в 3 утра в голову не придет)

Мне кажется лучше с админом не ссорится — если захочет (особенно если было время подготовится) — нагадить сможет много и капитально.

У нас по законодательству человек должен отработать 2 недели перед тем как уйти. Предлагаю Вам найти подходящего специалиста перед тем и сделать так чтоб он эти 2 недели не отходил от старого админа. (перенял опыт).
В случае если у Вас используюется специфическое ПО к созданию\модификации которого приклал руку и сам админ то как минимум не сжигать мосты а сказать пиблизительно такую фразу: " Если что-то ему не будет понятно то приди помоги, мы тебе компенсируем".

Как я понимаю, с системным администратором Вы не дружите…

Отправить сисадмина в отпуск на неделю на Гаваии (где нет интернета, да и некогда ему будет, и вообще — это подкуп), за это время нанять НОРМАЛЬНЫХ сисадминов, чтобы они быстро всё перенастроили. Очень важно сменить «корневую» железку (циску или что там у Вас смотрит в сеть), причем сменить физически.
Еще лучше, связаться с фирмой по аудиту безопасности и потребовать от неё гарантии безопасности. Пусть добудут/сменят все пароли и т.п.

И главное, системный администратор ДОЛЖЕН работать на своего руководителя, а значит — протоколировать все свои действия (по безопасности и правам доступа) и давать отчеты. Как только замечаете, что он (сисадмин) начинает «темнить» и добавлять функциональность, которой может управлять он один, то СРАЗУ УВОЛЬНЯЙТЕ(!) — этот человек уже не хочет сделать лучше Вам, а хочет сделать себя «неприкасаемым».
В крайнем случае, нанимайте двух «зеркальных» сотрудников — чтобы они могли полностью дублировать друг-друга.

PS. И простите меня Компьютерные боги, что я Ваших главных жрецов «сливаю» — но натерпелся, нет мочи!

самое идеальное — пойти по пути передачи от старого админа новому с одновременной проверкой и т.п.

Как системный администратор NIX систем скажу
что если у меня был рутовый доступ к серверу
и у меня есть желание сделать так, чтобы после моего увольнения что то случилось
я это желание реализую.

Помешать мне может только полная переустановка системы.

Самый верный способ, это нанять вторым админом того, кто будет работать в дальнейшем, дать старому и новому поработать вместе месяц-два, когда второй будет в курсе всего происходящего в серверном хозяйстве, тогда уже увольнять старого.
Судя по описанному, текущий админ тот еще работничек… наверняка никакой документации нет, уволив его без заранее переданных дел, вы рискуете потерей данных и простоем работы… и даже расчудесный новый админ с ходу не сможет разобраться во всем… берите второго в пару не ошибетесь.

При жестком желании я как админ найду как оставить вам пасхальное яйцо.
С другой стороны надо менять все доступы, вплоть до портов где rdp и ssh.

Совместная работа нового со старым — лучший выход, пока вы ищете место где спрятать тело

Вот в этой книге есть хорошая глава на тему «Как правильно уволись сисадмина».

Самый верный способ увольнять админа — на входе в контору дать коробку с его вещами и сообщить об увольнении, материально компенсировав такого рода неудобства.

Теперь внимание вопрос:
Админ сам уходит по своему желанию или его хотят уйти?

Если уж говорить о способах пакости и доступа к ресурсам сети, то Вам придётся проштудировать буквально ВСЁ. Т.к. VPN клиенты или любой другой способ backconnect'а, даже с клиентской машины, даст админу доступ во внутрь сети, а дальше уже всё намного проще для него…
Собственно, базовые принципы Вы описали еще в вопросе, а дальше рекомендую не накалять отношения. Т.к. по факту, реально защитится от злого уволенного админа выльется вашей фирме в кругленную сумму.

а еще очень стоит проверить планировщики на всех серверах, т.к. гадость прекрасно можно сделать с любого редко и малоиспользуемого сервера, например windows server + radius — на прошлой моей работе я на него так ниразу и не заходил.

Мое мнение, все начинается с расширения персонала. Далее работа начинается в паре, даются задания параллельно. Все это конечно надо делать лояльно с человеком (это может быть месяц, два кстате). Далее в какой-то момент приходит на работу и все перенастроено. Далее начинается процесс увольнения. Единственно верный вариант. Все начинается с банального утверждения начальника, о том, что мы не успеваем делать работу — пора расширять коллектив.

Нужно чтоб сисадминов было двое. А лучше трое. Не только на случай увольнения, а на случай отпуска или болезни — тоже.