¿Debo deshabilitar, pero nunca eliminar una cuenta de ActiveDirectory?

6

En los primeros días de NT4, nunca eliminaría una cuenta del dominio porque perdería la correlación entre el SID y el nombre de usuario en los registros de eventos y todas las pistas de auditoría relacionadas.

¿Es esta una práctica que debería continuar en Windows 2008R2?

¿Cómo deben manejar esto las ubicaciones con cuentas de usuario de temporada? Por ejemplo, una escuela podría dar a cada estudiante una cuenta AD y luego deshabilitarla al final del semestre. En solo unos pocos semestres, la cantidad de cuentas en "modo inactivo" aumentará rápidamente.

¿Cuál es la mejor manera de manejar esta situación?

    
pregunta random65537 01.10.2011 - 20:32
fuente

1 respuesta

3

Hace años trabajé en una junta escolar de más de 40,000 usuarios / personal, y cada usuario tenía una cuenta AD.

Se implementó un Sistema de administración de identidades, por lo que los registros de los alumnos rellenarán AD. Mientras los registros estuvieran en el sistema estudiantil en un estado determinado, los estudiantes existían en AD, pero estaban deshabilitados si se habían graduado, o lo que fuera. Una vez que el estado del estudiante cambió, el usuario fue retirado de AD, lo que si se conserva en memoria fue algunos años después de la graduación. No recuerdo exactamente, pero creo que también se mudaron a una unidad organizativa separada. Se mantuvieron porque siempre existía la posibilidad de que los estudiantes regresaran por un semestre adicional, o trabajaran durante el verano, o lo que sea.

La moraleja de la historia: AD puede manejar fácilmente grandes cantidades de usuarios, pero eliminarlos depende del caso del usuario. Si necesita mantener la pista de auditoría, deje al usuario pero desactívelo y muévalo a una OU diferente. Si son estacionales, pero pueden regresar, déjelos pero desactívelos hasta que no regresen por n número de temporadas.

    
respondido por el Steve 01.10.2011 - 21:03
fuente

Lea otras preguntas en las etiquetas