¿Hay alguna guía que indique que la mejor manera de manejar los abandonos es deshabilitar las cuentas (al menos inicialmente) en lugar de cambiar las contraseñas? Dado que AD admite esta opción, asumo que esta es la única forma compatible de deshabilitar a un usuario, pero parece que hay otros trucos para admitir aplicaciones o procesos heredados.
Lo pregunto porque creo que esta es la única forma segura, pero muchas guías y compañías tienden a seguir un enfoque que cambia la contraseña del usuario a algo que no conoce. Creo que otros métodos, como mover una cuenta a una OU que no puede iniciar sesión, son aún más defectuosos.
Históricamente, esto podría haber sido una buena práctica cuando todas las aplicaciones se encontraban en las instalaciones, pero con las aplicaciones en la nube que usan muchas herramientas de sincronización, parece que una cuenta de AD que se deshabilita es el único indicador seguro para las aplicaciones anteriores.
Parece que algunas aplicaciones como las últimas versiones de Outlook con O365 admiten la invalidación de credenciales con ADAL después de restablecer la contraseña, pero dudo que esto sea universal.