Active-Directory

AD 最佳實踐刪除還是禁用?

  • February 3, 2020

作為一家為我們的客戶提供 IT 系統、伺服器和一切的 IT 公司。當涉及到 Active Directory 和使用者離開公司時,我試圖找到最佳實踐。我們在不同類型的企業中擁有不同類型的客戶,無論大小。所以,我們有相當多的伺服器和許多 Active Directory 需要維護。有人告訴我,我們絕不能刪除 AD 中的使用者對象,如果重用使用者名,這是一個很大的安全問題。有人告訴我的原因是,新使用者可能會獲得與以前使用過的使用者名相同的使用者名,這可能會給他帶來他不應該擁有的訪問權限。就像直接在共享文件夾上而不是通過安全組授予的訪問權限一樣。

我研究並閱讀了很多關於這個主題的文件和其他論壇文章,發現自己不太確定。我學到的關於 AD 的一切都是它為每個與使用者名無關的對象使用唯一的 SID。因為使用者名可以更改,所以 SID 不能更改或重複使用。根據我的發現,將帳戶長時間儲存為 AD 中的禁用狀態似乎存在很大風險?

我已經研究了製作將使用者名轉換為雜湊的腳本的可能性,該腳本儲存在數據庫中,我們可以讓 AD 檢查使用者名是否可用或以前使用過。因此,我們可以在一段時間後刪除使用者對象。但是現在我想知道是否真的有任何理由做所有這些工作,如果重用舊使用者名真的那麼糟糕嗎?我們的一些客戶的廣告有 2000 名殘疾使用者,有些超過 2 歲。我們創建了一個新的“OU”,我們將其與使用者分離並禁用了 ou,但我們仍然想從 AD 中刪除它們,沒有看到將對象保留多年以避免使用者名被重用的原因。

我想知道這方面是否有已知的最佳實踐,常見的做法是什麼?重用使用者名或“永久”儲存使用者名是最大的風險嗎?會不會有關於 Ldap 查詢、citrix、exchange 或其他系統的問題?

感謝您提供任何好的建議和資訊。

“不重用使用者名”對我來說聽起來像是貨物崇拜系統管理。AD 中的使用者權限不是在內部分配給使用者名,而是分配給使用者對象的安全標識符 (SID),從所有意圖和目的來看,它都是唯一的。換句話說,我會說你要冒更大的風險來保持過時和禁用的使用者帳戶,而不是在另一個 John Smith 碰巧被雇用時保持你的各種命名空間清晰。

以您的名義,我懷疑您可能會受到 GDPR 或類似法規的約束,在這種情況下,如果您將過多的使用者數據保存在不必要的時間太長,您也將遭受損失。

所以:確保你有一個好的和有效的備份策略,即使是你的 AD。在合理的時間內啟動 AD 資源回收筒功能可能是個好主意。然後創建並測試一個程序以在使用者僱傭結束時刪除使用者帳戶並清除其數據。

引用自:https://serverfault.com/questions/1001629