Ações registrando AD usuário (com usuários excluídos)

votos
3

Estamos prestes a migrar uma aplicação web intranet do uso de uma segurança baseada em formas de propriedade para o Active Directory. A aplicação regista uma variedade de acções do utilizador, e não há uma quantidade significativa de dados associados com as contas. Nosso plano era para migrar todas estas colunas UserId em várias tabelas: a partir de uma chave estrangeira que liga o sistema proprietário, a um GUID do Active Directory. nomes de login são idênticos entre os dois sistemas, de modo a migração não é um problema.

No entanto, identificamos um grande problema: Nossa política de segurança determina que usuários inativos deve ser excluído do Active Directory. Um GUID órfãos em nossos logs de segurança faz com que as entradas muito sentido para qualquer um que vê-los.

Como pode uma aplicação manter o básico legível (nome, login, etc.) sobre um GUID que foi excluído do Active Directory?

Nós consideramos as seguintes opções. Uma dessas opções pode acabar sendo o ideal, mas queremos tentar para melhor:

  • Desnormalizar as tabelas de log e nome da loja / login em vez de um GUID (ok para logs, não tanto para dados ativos.)
  • Manter uma cache de informações objeto AD onde as entradas nunca são apagadas
  • Manter a conta AD mas desativação / trancando-a para baixo
Publicado 19/05/2009 em 14:46
fonte usuário
Em outras línguas...                            


3 respostas

votos
1

Eu não desnormalizar completamente a tabela log, mas em vez armazenar as informações AD pertinente ao lado do GUID, como disse Tim. No entanto, se você irá precisar dessa informação AD em outras áreas, cache-lo em sua tabela de usuário. Eu recomendaria contra a mudar sua política de segurança.

Respondeu 19/05/2009 em 15:07
fonte usuário

votos
0

Decidimos usar uma tabela de "cache" que irá armazenar um dicionário de GUIDs que mapeiam para informações de usuário amigável. Isso vai exigir uma visão que abstrai uma lista de usuários AD, e se aglutina em entradas ausentes do cache.

Respondeu 20/05/2009 em 20:14
fonte usuário

votos
0

Para registro, sou a favor da abordagem desnormalizada, mas mantendo a id. Eu armazenar o id do usuário, juntamente com outras, informações de identificação legível. Para o usuário ativo eu ainda pode usar o id na junta (se necessário). Para usuários inativos (suprimido) Tenho a forma legível para uso pelos auditores.

Respondeu 19/05/2009 em 14:52
fonte usuário

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more