C'è qualche indicazione che indica che il modo migliore per gestire i licenziati è di disabilitare gli account (almeno inizialmente) invece di modificare le password? Dato che AD supporta questa opzione, suppongo che questo sia l'unico modo supportato per disabilitare un utente, ma altri hack sembrano essere prevalenti per supportare app o processi legacy.
Chiedo perché ritengo che questo sia l'unico modo sicuro, ma molte guide e aziende tendono a seguire un approccio che modifica la password per l'utente a qualcosa che non conoscono. Penso che altri metodi come lo spostamento di un account in un'unità organizzativa che non può accedere siano ancora più difettosi.
Storicamente questa potrebbe essere una buona pratica quando tutte le applicazioni sono locali, ma con le applicazioni cloud che utilizzano molti strumenti di sincronizzazione sembra che un account AD disabilitato sia l'unico indicatore sicuro per le applicazioni a monte.
Sembra che alcune applicazioni come le ultime versioni di Outlook con O365 supportino l'invalidazione delle credenziali con ADAL dopo la reimpostazione della password, ma dubito che ciò sia universale.