Назад | Перейти на главную страницу

AD лучшие практики удалить или просто отключить?

Как ИТ-компания, которая поставляет ИТ-системы, серверы и все остальное для наших клиентов. Я пытаюсь найти лучшую практику, когда дело касается Active Directory и пользователей, покидающих компанию. У нас есть разные типы клиентов в разных сферах бизнеса, как больших, так и малых. Итак, у нас есть довольно много серверов и много активных каталогов, которые нужно поддерживать. Мне сказали, что мы никогда не должны удалять объект User в AD, что это большая проблема безопасности, если имена пользователей используются повторно. Причина, по которой мне сказали, - это риск того, что новый пользователь получит то же имя пользователя, которое использовалось ранее, что может дать ему доступ, которого он не должен был иметь. Как доступ, предоставленный непосредственно к общей папке, а не через группу безопасности.

Я изучил и прочитал много документации и других сообщений на форуме по этой теме и не так уверен. Все, что я узнал об AD, это то, что он использует уникальный SID для каждого объекта, не имеющего ничего общего с именем пользователя. Поскольку имя пользователя может быть изменено, SID невозможно изменить или повторно использовать. Из того, что я обнаружил, похоже, есть даже большой риск, что учетные записи будут храниться как отключенные в AD в течение длительного периода времени?

Я рассмотрел возможность создания сценария, который превращает имя пользователя в хэш, который сохраняется в базе данных, и мы можем проверить AD, если имя пользователя доступно или использовалось ранее. Итак, мы можем удалять пользовательские объекты через точку. Но теперь мне интересно, действительно ли это какая-то причина для выполнения всей этой работы, если повторное использование старого имени пользователя на самом деле так плохо? AD для некоторых из наших клиентов имеет около 2000 пользователей с ограниченными возможностями, некоторым более 2 лет. Мы создали новое «OU», которое мы отделили от пользователей и отключили ou, но все же мы хотим удалить их из AD, не видя причин хранить объект в течение сервальных лет, чтобы избежать повторного использования имени пользователя.

Мне интересно, есть ли известная передовая практика в этом отношении и что обычно нужно делать? Самый большой риск - повторно использовать имя пользователя или хранить его «навсегда»? Может ли быть проблема, связанная с запросами Ldap, citrix, exchange или другими системами?

Спасибо за любые полезные советы и информацию.

«Не использовать повторно имена пользователей» для меня звучит как администрирование системы Cargo Cult. Разрешения пользователей в AD назначаются внутри не имени пользователя, а идентификатору безопасности (SID) пользовательского объекта, который во всех смыслах и целях является уникальным. Другими словами, я бы сказал, что вы идете на больший риск, сохраняя устаревшие и отключенные учетные записи пользователей, чем оставляя свои различные пространства имен чистыми на случай, когда другой Джон Смит будет нанят.

Судя по вашему имени, я подозреваю, что вы можете подпадать под действие GDPR или аналогичного законодательства, и в этом случае вы также рискуете потерять, если будете хранить слишком много пользовательских данных в течение неоправданно долго.

Итак: убедитесь, что у вас есть хорошая и работающая стратегия резервного копирования даже для вашей AD. Было бы неплохо активировать функцию корзины AD на разумное время. Затем создайте и протестируйте процедуру для удаления учетных записей пользователей и очистки их данных по окончании занятости пользователей.