web-dev-qa-db-ja.com

無効にするだけで、Active Directoryからアカウントを削除しないでください。

NT4の初期の頃は、イベントログと関連するすべての監査証跡でSIDとユーザー名の相関関係が失われていたため、ドメインからアカウントを削除することはありませんでした。

これは、Windows 2008R2で継続すべきプラクティスですか?

季節的なユーザーアカウントを持つ場所はこれをどのように処理する必要がありますか?たとえば、学校はすべての生徒にADアカウントを与え、学期の終わりにそれらを無効にすることができます。ほんの数学期で、「休止モード」のアカウント数は急速に増加します。

この状況を処理する最良の方法は何ですか?

6

数年前、私は40,000人以上のユーザー/スタッフの教育委員会で働いていました。各ユーザーはADアカウントを持っていました。

アイデンティティ管理システムが導入されていたため、学生のレコードがADに入力されました。レコードが特定の状態の学生システムにある限り、学生はADに存在していましたが、卒業した場合などは無効になりました。学生の状態が変化すると、ユーザーはADから削除されました。記憶が機能する場合は卒業後数年でした。正確には覚えていませんが、別のOUに移動されたと思います。生徒が次の学期に戻ったり、夏の間仕事をしたりする可能性が常にあったため、それらは保持されました。

話の教訓:ADは大量のユーザーを簡単に処理できますが、それらを削除するかどうかはユーザーの状況に依存します。監査証跡を保持する必要がある場合は、ユーザーはそのままにして無効にし、別のOUに移動します。それらが季節的であるが、戻ってくる可能性がある場合は、nシーズン戻らなくなるまで無効にします。

3
Steve