Devo disabilitare solo, ma non eliminare mai un account da Active Directory?

6

Nei primi giorni di NT4, non avrei mai eliminato un account dal dominio perché avrei perso la correlazione tra il SID e il nome utente nei registri eventi e tutte le relative tracce di controllo.

Questa è una pratica che dovrei continuare in Windows 2008R2?

In che modo dovrebbero gestire le posizioni con account utente stagionali? Ad esempio, una scuola potrebbe fornire ad ogni studente un account AD e quindi disabilitarli alla fine del semestre. In pochi semestri, la quantità di account in "modalità dormiente" sarebbe cresciuta rapidamente.

Qual è il modo migliore per gestire questa situazione?

    
posta random65537 01.10.2011 - 20:32
fonte

1 risposta

3

Anni fa ho lavorato in un consiglio scolastico di oltre 40.000 utenti / personale e ogni utente aveva un account AD.

C'era un sistema di gestione delle identità in atto, quindi i record degli studenti avrebbero popolato AD. Finché i record erano nel sistema studentesco in un dato stato, gli studenti esistevano in AD, ma disabilitati se si erano laureati, o qualsiasi altra cosa. Una volta modificato lo stato dello studente, l'utente è stato rimosso da AD, che se la memoria è stata utilizzata pochi anni dopo la laurea. Non ricordo esattamente, ma credo che anche loro siano stati trasferiti in una UO separata. Sono stati mantenuti perché c'era sempre la possibilità che gli studenti tornassero per un semestre extra, o che lavorassero durante l'estate, o qualsiasi altra cosa.

La morale della storia: AD può facilmente gestire grandi quantità di utenti, ma la loro rimozione dipende dal caso dell'utente. Se è necessario mantenere la traccia di controllo, lasciare l'utente ma disabilitarli e spostarli in un'unità organizzativa diversa. Se sono stagionali, ma possono tornare, lasciarli ma disabilitarli fino a quando non ritornano per n numero di stagioni.

    
risposta data 01.10.2011 - 21:03
fonte

Leggi altre domande sui tag