Почему не следует удалять неактивных пользователей

Я не рекомендую удалять учетные записи уволившихся сотрудников, ровно как и учетные записи компьютеров из Active Directory. И вот почему.

Во-первых, сохраняя учетную запись уволившегося сотрудника, вы исключаете возможность так называемого повторного использования (object reuse). Это такая ситуация, в которой права, ранее выданные уволившемуся пользователю, автоматически назначаются новому пользователю с таким же именем. В крупных компаниях такие случаи не редки, представляете сколько может быть spetrenko-в среди 10,000 сотрудников? Эта проблема возникает в основном потому, что некоторые нерадивые программисты учат свои, с позволения сказать, программы авторизировать пользователей... по имени. Оставьте spetrenko в покое, просто заблокируйте его, удалите из всех групп безопасности и переместите в хранилище подобного рода учетных записей. Для этого в Active Directory можно создать отдельный Organizational Unit (OU). Если, спустя время, к вам на работу нагрянет еще один С. Петренко, назовите его spetrenko2 или дополните логин инициалом отчества.

Во-вторых, сохранив учетную запись уволившегося сотрудника, вы избежите ситуации, когда через месяц (год, два, пять) вам понадобиться получить доступ к его рабочему почтовому ящику, а также, к учетной записи на сайте поддержки поставщика услуг, привязанной к его электронному адресу. В таком случае вы просто разблокируете учетку и восстановите "утерянный" пароль, выслав его на адрес пользователя.

В-третьих, возвращаясь к первому примеру, аутентификация пользователя в программе третьего поставщика по учетной записи Active Directory, и сохранение этой учетной записи после его увольнения, может помочь вам избежать массы проблем в случае, когда эта самая "третья" программа вдруг "потеряет" все остальные учетные записи пользователей, хранящиеся в ней локально. Ситуация, прямо скажем, экзотическая, но если бы такое не случалось, я бы об этом не писал. Один мой коллега однажды успешно восстановил доступ к консоли управления системы шифрования жестких дисков корпоративного уровня, после того, как все локальные учетные записи в консоли были утеряны, но осталась одна заветная -- импортированная из Active Directory.

В общем, мой вам совет -- не удаляйте учетные записи. Места они много не занимают, кушать тоже не просят. Блокируйте, изменяйте пароли, лишайте всех привилегий и выводите из всех групп, -- но оставьте их на память. И кто знает, возможно они вам еще пригодятся.