Bene, il titolo dice tutto davvero. Ovviamente se ritornano è facile da abilitare, ma sto parlando specificamente dei giovani che non hanno intenzione di tornare.
Molti luoghi semplicemente disattivano gli account anziché eliminarli. C'è un motivo di sicurezza per questo? Non sono sicuro di vedere dei rischi con la disattivazione dell'account anziché eliminarlo.
Dipende dal contesto, naturalmente, ma in generale, lasciare un account aiuta con la responsabilità, e come menzionato Matteo, con piste di controllo. Immagina lo scenario in cui i nomi utente sono formati dalla prima lettera del nome e il cognome completo, John Smith diventa "jsmith", ma John decide di lasciare l'azienda e poco dopo essere stato sostituito da Jane Smith, il suo nome utente sarebbe "jsmith" pure. La conservazione del precedente utente avrebbe impedito il verificarsi di una rappresentazione accidentale, che potrebbe anche non essere casuale in ogni situazione.
Potrebbe verificarsi un'altra situazione se il processo di eliminazione di un utente ha rimosso tutto ciò che è collegato a quell'utente, di recente Gitlab ha avuto un periodo difficile in parte perché un utente dello staff è stato contrassegnato per la rimozione e nel processo è stato rimosso un database importante, in questo caso la decisione di eliminare un utente è stata costosa.
In generale, se c'è un'incertezza su cosa accadrebbe quando si elimina un utente, l'opzione migliore è disabilitare l'utente invece di eliminarlo. Quindi sì, mentre ci sono considerazioni sulla sicurezza, ci sono anche preoccupazioni operative.
Dipende principalmente da ciò che l'account ha rappresentato. Se è solo un concedere l'accesso , invalidarlo o eliminarlo non fa molta differenza.
Ma diventa diverso non appena le risorse possono essere associate agli account. Pensa a post o commenti. Sono normalmente associati all'account che li ha creati. Se l'account viene eliminato, quali dovrebbero diventare le risorse associate e come devono essere visualizzate?
E il problema è ancora peggiore con i log. Normalmente i registri vengono conservati per un periodo di tempo per molte ragioni e, ad esempio, per ricerche in caso di incidente tecnico o legale. Se l'account è stato eliminato, l'amministratore del sito non sarà più in grado di associare un'azione registrata.
Per questo motivo, l'uso comune è di invalidare prima un account leavers. In effetti, l'account non dovrebbe essere cancellato fino a quando non ha tracce nei log e nessuna risorsa è associata ad esso. Solo in quel momento può essere cancellato in modo sicuro. E se gli archivi vengono conservati per periodi di tempo più lunghi, l'account dovrebbe persistere (anche se in uno stato cancellato ) per tutto il tempo in cui gli archivi potrebbero essere usati
Leggi altre domande sui tag access-control active-directory account-security