イントラネットWebアプリケーションを独自のフォームベースのセキュリティを使用してActive Directoryに移行しようとしています。アプリケーションはさまざまなユーザーアクションをログに記録し、ユーザーアカウントに関連するデータはかなりの量です。私たちの計画は、これらのすべてのUserId列を、独自のシステムをリンクする外部キーからActive Directory GUIDに移行することでした。ログイン名は2つのシステム間で同じなので、移行は問題ではありません。ADユーザーの操作(削除されたユーザー)
しかし、我々は1つの重大な問題を特定しました。私たちのセキュリティポリシーは、非アクティブなユーザーをActive Directoryから削除する必要があると規定しています。セキュリティログの孤立したGUIDは、エントリを見ている人にとっては無意味です。
アプリケーションは、Active Directoryから削除されたGUIDについて、人間が読める基本(名前、ログインなど)をどのように維持できますか?
以下のオプションを検討しました。これらのオプションの一つが最適になってしまうかもしれませんが、私たちはより良いために試してみたい:
- は、アクティブなデータのために多くのログではなく、大丈夫(代わりに、GUIDのログテーブルと店舗名/ログインを非正規化。 )
- エントリが
- を削除されることはありませんADオブジェクト情報の「キャッシュ」ADアカウントを維持するが、非アクティブ化/
心配はいりません。オプション3はほとんどありません。これは、システム管理者のためのものです。 –