一千萬個為什麽

搜索

我應該只禁用,但永遠不會刪除ActiveDirectory中的帳戶嗎?

在NT4的早期,我永遠不會從域中刪除帳戶,因為我會丟失事件日誌中的SID和用戶名與所有相關審計跟蹤之間的相關性。 這是我應該在Windows 2008R2中繼續的做法嗎?

具有季節性用戶帳戶的地點應該如何處理?例如,學校可以為每個學生提供AD帳戶,然後在學期結束時禁用它們。在短短的幾個學期中,處於“休眠模式”的賬戶數量將迅速增長。 處理這種情況的最佳方法是什麽?

最佳答案

多年前,我在一個擁有40,000多名用戶/員工的學校董事會工作,每個用戶都有一個AD帳戶。

有一個身份管理系統,所以學生記錄將填充AD。只要記錄在特定州的學生系統中,學生就存在於AD中,但如果他們已經畢業,則會被禁用。一旦學生的狀態發生變化,用戶就會從AD中移除,如果記憶服務是在畢業後的幾年。我不記得確切,但我相信他們也被轉移到一個單獨的OU。他們被保留是因為學生總有可能返回一個額外的學期,或者在夏天工作,或者其他什麽。

故事的寓意:AD可以輕松處理大量用戶,但刪除它們取決於用戶的情況。如果您需要保留審計跟蹤,請離開用戶但禁用它們並將它們移動到不同的OU中。如果他們是季節性的,但可能會返回離開他們,但禁用他們,直到他們沒有返回n個季節。

轉載註明原文: 我應該只禁用,但永遠不會刪除ActiveDirectory中的帳戶嗎?