%20%E4%B8%AD%E2%80%9C%E5%AD%98%E6%A1%A3%E2%80%9D%E5%B8%90%E6%88%B7%EF%BC%9F.png)
我不是说禁用……我希望除了“导出”之外还有别的用途。我的问题如下:我的组织从不删除帐户(只是禁用它们)——不是我的要求。我使用自定义过滤器“(!(userAccountControl:1.2.840.113556.1.4.803:=2))”隐藏了已禁用的帐户,但这样无法隐藏诸如群组成员列表之类的内容(而且这里的“流动率”很高,我的 AD 变得非常混乱)。有没有人有想法或经过验证的解决方案来“存档”用户帐户,以便从 AD(甚至只是我的域、群组成员列表等)中删除/隐藏它们,但可以轻松恢复只是和以前一样吗?不删除帐户的主要目的是在帐户重新启用时保留所有属性(包括组成员身份等)...因此任何类型的删除/存档都需要能够保留这些属性。在帐户被禁用或“存档”时,属性不需要轻易访问。
答案1
您确实需要重新开始进行帐户生命周期管理。
如果您保留旧帐户以备有人回来使用,那么从信息安全的角度来看,这实际上是一种非常糟糕的做法。有人可能不会以他们之前的角色回来,他们可能无法访问他们之前拥有的所有内容。
在入职时专门请求/审查某人的帐户访问权限也是最佳实践。也许这有点麻烦,但至少,招聘经理可以说 $returnedStaffMember 需要与 $otherPerson 相同的访问权限(这仍然不是很好的做法,但足够了)。
权限蔓延是任何安全环境中众所周知的问题,这种事情就是这种情况发生的典型例子。我知道有一位高级公务员(向内阁汇报),他的一位前工作人员在离开几年后重新受聘时获得了对其邮箱的访问权限——在另一个安全级别较低的部门。幸运的是,该人报告了这个问题,因为他的帐户被重新启用了——他们不应该访问的邮箱不止一个(而且该部门已经停止了这种做法)。
通常情况下,您会给他们一个宽限期,让他们保留账户,直到他们离职。期望是他们回到原来的职位,重新启用账户。也许是一个或两个工资期,甚至 6 个月。应该有一种方法可以识别员工休长期服务假/休假或育儿假的账户。然后你就有了 AD 回收站(但无论如何,超过 6 个月的保留时间也很多)。
如上所述,有些备份产品可以对某人的帐户进行“砖块级”恢复,但同样,您提供这种服务的时间有多长?同样的问题还有权限随时间推移而增长以及缺乏帐户管理/审查。
您可以创建一个“廉价人员”档案,转储帐户的主要属性和组成员身份,包括用于审计目的的 SID(以防需要审查安全日志),并将其保存在数据库等某个地方。您还需要一种方法来明确识别它是同一个人,例如出生日期或人力资源记录 ID(如果您有一个为员工生成唯一永久 ID 的人力资源系统)——人们经常有重复的名字。
理想情况下,应该采用一种更复杂的系统,从人力资源部门获取输入,并根据部门/角色将用户分配到适当的组等,例如 MIM、NetIQ 等产品。
但与此同时,允许你的账户永远存在会导致 AD 中出现大量膨胀,微软和许多信息安全机构明确将其归类为不良做法。特别是允许过时的账户保留在组中最终会导致同一组中其他账户的性能问题(不仅仅是一般的安全问题、“混乱”和整个 AD 性能)。