我有ou =人,在那里我储存了我们的员工。 我必须把它们分成我们现在的员工和前任员工。 我在想的是创build2个组,ou =员工,ou =人员和ou =前员工,ou =人员,但更改uid的entryDN似乎有点棘手…
我应该添加一个自定义属性还是创build一些组? 最佳做法是什么?
你可以创build一个组并添加到这个组中,但是我认为将它们移动到一个新的OU是最好的答案。 将他们转移到一个单独的OU执行您的既定目标,即将其分为当前员工和前员工。
另外我会采取这些安全防范措施:
我也会采取预防措施,将其loginshell更改为/bin/false
请注意,您应该更改密码并将该帐户标记为禁用。 你可以删除passwd散列,或将它replace成稍后可以识别的东西,例如LOCK
这些步骤将阻止前雇员能够login,或者如果他们以某种方式猜测密码,做任何有用的事情。
空无一人。 我们所做的就是让他们留在最后一个岗位并停用他们。
在我们的Active Directory中,我们通过禁用帐户并将其移动到Terminated Employees OU来编写脚本。 6欧后,他们被删除。 手动更改每项工作可能有很多工作,但这就是脚本的作用。
将帐户条目移到默认的帐户search基础之外是一个好习惯。
如果用户条目是离开的,或者您在OpenLDAP中使用back_hdb ,则可以使用LDAP API中的ldapmodrdn命令或ldap_rename()函数来移动它们。 如果他们是子树,那么你可能不得不recursion复制子树,然后recursion删除它。