0

我有一个使用 Dirsync 来监视 AD 更改的应用程序。当我向组添加/删除用户时,AD 会为其创建一个事件。但是当我从 AD 中删除用户时,它只会为用户删除创建一个更改日志。我没有收到“用户从组中删除”的更改日志

我也可以启用一些设置来查看这些更改吗?

4

1 回答 1

2

当您删除用户时,他们不会自动从组中删除。除非您手动将其删除,否则他们的 SID 会留在组成员中。访问控制也会发生这种情况,如果您向该用户授予了共享权限,您将在删除该用户后看到共享上没有用户信息的 SID。

我的组织采用了禁用用户并将他们移动到附加了 GPO 的“终止用户”OU 的策略,如果有人设法重新启用该帐户,他们的会话将无法使用。这使我们能够避免悬空 SID,并且不必担心每次员工离开时都要对组成员进行全面审核。

如果您愿意,您可以每年进行一次审核,删除用户的所有权限,然后删除该用户,但我真的觉得没有必要。

于 2012-11-06T17:11:08.463 回答