活动目录(AD)是设计用来管理一个域中的几百万个对象的。但是即使很好地使用组织单元(OU),我们人类还是不能适当地处理好太多的对象。所以,要有一种保持对象数目或者明确地说是用户帐户数目不会堆积在你那里的方法,即进行一些清除工作。
对于你的组织不再需要的帐户,清理是十分必要的。这些是已经不在职的雇员对应的账户(即它们是应该是被放弃的或者孤立存在的)。在管理旧的用户帐户的问题上,有两种方式。一种是所有曾经创建在域内的账户应该被保留,以便简化未来的安全检查。如果你删除了一个账户,那么监查记录会指向一个不存在的记载。第二种想法是删除不再被雇用的人的账户。在两种情况下都有一些你能做的来整理它们的事情。
首先,如果你必须保持那些账户(即不删除它们),那么首先确定那账户已经被适当地禁止其权限。如果你认为这可能不够,那么考虑为这些现有的死账户分配新的复杂的口令。最后,你可能想创建一个专门的组织单元并且移动所有的停用账户到它里面去。这可以防止你其余的域由于在同一处保留禁止账户而变得混乱。
其次,即使你选择删除一个用户帐户,用户概述文件目录和用户帐户的主目录通常也将遗留下来。当账户被删除时,操作系统不会自动地删除这些文件夹。你可以删除已经标记为停用的任何账户的用户概要目录和主目录。这样做会清理干净你的服务器并释放显著大小的驱动器空间。但是别忘了首先检查并细阅它们,确保没有重要的或者有价值的数据。一旦一个文件被删除,除非它有一个备份,那这删除可能就是永久的。
你也许已发现有时即使管理员在删除正常的用户帐户的用户概要和根目录都会存在困难。这恼人的问题通常通过下面的方式解决解决,首先确保你是一个域管理员,然后在尝试删除内容以前取得准备删除的文件夹的所有权。加上一条旁注,务必取得那两个文件夹以及它们内容的所有权。操作系统通常会承认用户概要文件夹(或者文件夹中的一些内容)和它们的主目录的用户帐户所有权。因此,没有取得所有权,连管理员也没有足够的许可来处理那些对象。通过管理员权限用户取得所有权的方式,许可问题已经可以忽略了,因为对象所有者具有那对象的完全控制权。
所以,具有一点设计、一点有组织的重新安排和一些硬盘空间的清理,你可以保持你的驱动器和AD数据库更整洁一些。