我有 ou=People,并且在那里存储了我们的员工。我必须以某种方式将他们分为现任员工和前任员工。我当时想的是创建 2 个组,ou=Employees,ou=People 和 ou=FormerEmployees,ou=People,但更改 uid 的 entryDN 似乎有点棘手……
我是否应该添加自定义属性,或者创建某个组?最佳做法是什么?
答案1
您可以创建一个组并将他们添加到其中,但我认为将他们移至新的 OU 是最好的答案。将他们移至单独的 OU 可实现您所述的“将他们分为现任员工和前任员工”的目标。
此外,我还将采取以下安全预防措施:
我还会采取预防措施,将他们的登录 shell 更改为
/bin/false请注意,您应该更改密码并将帐户标记为已禁用。您可以删除密码哈希值或将其替换为您以后会识别的内容,例如锁
这些措施将阻止前雇员登录,或者阻止他们以某种方式猜出密码而做任何有用的事情。
答案2
没有。我们的做法是让他们留在最后一条帖子上,然后停用它们。
答案3
在我们的 Active Directory 中,我们通过禁用帐户并将其移动到离职员工 OU 来编写脚本。在该 OU 中工作 6 个月后,这些帐户将被删除。手动更改每个帐户可能很费力,但这就是编写脚本的目的。
答案4
将帐户条目移出帐户的默认搜索基础是一种很好的做法。
如果您的用户条目是叶子,或者您正在使用OpenLDAP 中的 back_hdb,然后您可以使用ldapmodrdn命令或ldap_rename()LDAP API 中的函数来移动它们。如果它们是子树,那么您可能必须递归复制子树,然后递归删除它。