我有一个使用Dirsync来监控AD变化的应用程序。当我向组添加/删除用户时,AD会为其创建一个事件。但是当我从AD中删除用户时,它只会为用户删除创建更改日志。我没有收到“用户从组中删除”的更改日志
我是否可以启用一些设置来查看这些更改?
答案 0 :(得分:2)
删除用户时,不会自动从组中删除这些用户。除非您手动删除它们,否则它们的SID将保留在组成员身份中。这也适用于访问控件,如果您向该用户授予共享权限,则在删除用户后,您将看到共享上没有用户信息的SID。
我的组织采用了禁用用户并将其移至附加了GPO的“已终止用户”OU的策略,如果有人设法重新启用该帐户,则会使其会话无法使用。这使我们可以避免悬挂SID,而不必担心每次员工离开时都要对组成员进行全面审核。
如果您愿意,您可以每年进行一次审核,删除用户的所有权限,然后删除该用户,但我觉得这不是必要的。