Bueno, el título lo dice todo de verdad. Obviamente, si regresan, es fácil de habilitar, pero estoy hablando específicamente sobre los que no tienen intención de regresar.
Muchos lugares simplemente deshabilitan las cuentas en lugar de eliminarlas. ¿Hay una razón de seguridad para esto? No estoy seguro de ver ningún riesgo al deshabilitar la cuenta en lugar de eliminarla.
Esto depende del contexto, por supuesto, pero en general, dejar una cuenta ayuda con la rendición de cuentas y, como mencionó Matthew, con pistas de auditoría. Imagine el escenario donde se forman los nombres de usuario de la primera letra del nombre y el apellido completo, John Smith se convierte en "jsmith", pero John decide abandonar la empresa y poco después de que sea reemplazado por Jane Smith, su nombre de usuario sería "jsmith" también. Preservar al usuario anterior detendría una suplantación accidental, lo que también puede no ser accidental en todas las situaciones.
Otra situación puede ocurrir si el proceso de eliminar un usuario eliminó todo lo vinculado a ese usuario, recientemente Gitlab lo pasó mal en parte porque un usuario del personal fue marcado para su eliminación y en el proceso se eliminó una base de datos importante, en este caso la decisión de eliminar un usuario fue costosa.
En general, si existe incertidumbre sobre lo que sucedería al eliminar un usuario, la mejor opción es deshabilitarlo en lugar de eliminarlo. Así que sí, aunque hay consideraciones de seguridad, también hay problemas operacionales.
Depende principalmente de lo que representa la cuenta. Si solo es una concesión de acceso , invalidarla o eliminarla no hace mucha diferencia.
Pero se vuelve diferente tan pronto como los recursos se pueden asociar a las cuentas. Piensa en publicaciones o comentarios. Normalmente están asociados con la cuenta que los creó. Si se elimina la cuenta, ¿qué deberían convertirse en los recursos asociados y cómo deberían mostrarse?
Y el problema es aún peor con los registros. Normalmente, los registros se guardan durante un tiempo por muchas razones y, por ejemplo, para investigaciones en caso de un incidente técnico o legal. Si la cuenta se ha eliminado, el administrador del sitio ya no podrá asociar una acción registrada.
Por esas razones, el uso común es primero invalidar una cuenta de abandono. De hecho, la cuenta no se debe eliminar hasta que no haya rastreos en los registros y no se asocien recursos a ella. Solo en ese momento se puede eliminar de forma segura. Y si los archivos se guardan por períodos más largos de tiempo, la cuenta debe persistir (incluso si está en un estado de eliminado ) todo el tiempo que se puedan usar los archivos
Lea otras preguntas en las etiquetas account-security access-control active-directory