作为一家为我们的客户提供 IT 系统、服务器和一切的 IT 公司。当涉及到 Active Directory 和用户离开公司时,我试图找到最佳实践。我们在不同类型的企业中拥有不同类型的客户,无论大小。所以,我们有相当多的服务器和许多 Active Directory 需要维护。有人告诉我,我们绝不能删除 AD 中的用户对象,如果重用用户名,这是一个很大的安全问题。有人告诉我的原因是,新用户可能会获得与以前使用过的用户名相同的用户名,这可能会给他带来他不应该拥有的访问权限。就像直接在共享文件夹上而不是通过安全组授予的访问权限一样。
我研究并阅读了很多关于这个主题的文档和其他论坛帖子,发现自己不太确定。我学到的关于 AD 的一切都是它为每个与用户名无关的对象使用唯一的 SID。因为用户名可以更改,所以 SID 不能更改或重复使用。根据我的发现,将帐户长时间存储为 AD 中的禁用状态似乎存在很大风险?
我已经研究了制作将用户名转换为哈希的脚本的可能性,该脚本存储在数据库中,我们可以让 AD 检查用户名是否可用或以前使用过。因此,我们可以在一段时间后删除用户对象。但是现在我想知道是否真的有任何理由做所有这些工作,如果重用旧用户名真的那么糟糕吗?我们的一些客户的广告有 2000 名残疾用户,有些超过 2 岁。我们创建了一个新的“OU”,我们将其与用户分离并禁用了 ou,但我们仍然想从 AD 中删除它们,没有看到将对象保留多年以避免用户名被重用的原因。
我想知道这方面是否有已知的最佳实践,常见的做法是什么?重用用户名或“永久”存储用户名是最大的风险吗?会不会有关于 Ldap 查询、citrix、exchange 或其他系统的问题?
感谢您提供任何好的建议和信息。
“不重用用户名”对我来说听起来像是货物崇拜系统管理。AD 中的用户权限不是在内部分配给用户名,而是分配给用户对象的安全标识符 (SID),从所有意图和目的来看,它都是唯一的。换句话说,我会说你要冒更大的风险来保持过时和禁用的用户帐户,而不是在另一个 John Smith 碰巧被雇用时保持你的各种命名空间清晰。
以您的名义,我怀疑您可能会受到 GDPR 或类似法规的约束,在这种情况下,如果您将过多的用户数据保存在不必要的时间太长,您也将遭受损失。
所以:确保你有一个好的和有效的备份策略,即使是你的 AD。在合理的时间内激活 AD 回收站功能可能是个好主意。然后创建并测试一个程序以在用户雇佣结束时删除用户帐户并清除其数据。