Удалить
Повторяющиеся учетные записи пользователей
Неиспользованные учетные записи пользователей, групп или компьютеров
Учетные записи групп для несуществующих ресурсов
Отключить
Для учетных записей, которые не понадобятся в ближайшем будущем
Чтобы сохранить права, разрешения и членство в группах
Для учетных записей, которые используют важные сетевые ресурсы
Объединенные учетные записи, которые выполняют одну и ту же роль
Требуется очистить базу данных SAM, чтобы удалить все накопившиеся неактуальные группы безопасности. Таким образом, процесс миграции в новую среду затронет только необходимые данные. Очистка базы данных SAM особенно полезна в сценарии реструктуризации, потому что в новую среду перемещаются группы безопасности.
Что удалять:
Множественные учетные записи, которые были созданы для одного и того же пользователя. Обычно только одна из них активна. Даже в сети с несколькими доменами пользователю достаточно иметь одну учетную запись для доступа ко всем ресурсам в любой части сети при условии, что существуют отношения доверия. Если у пользователя есть повторяющаяся учетная запись, одна из учетных записей может оставаться неиспользуемой. А если разрешения пользователя на доступ к ресурсам связаны с двумя учетными записями, то их будет труднее отслеживать.
Учетные записи, которые оставались неиспользуемыми в течение долгого времени. В большинстве случаев с помощью хорошей сетевой документации можно легко определить неиспользуемые учетные записи пользователей, например недействительные учетные записи служб. Существуют средства, с помощью которых можно находить неиспользуемые учетные записи пользователей (USRSTAT в пакете ресурсов). Учетные записи групп, которые больше не нужны из-за того, что все члены группы перемещены в другую группу. Это могло быть сделано в ходе объединения групп. Например, при закрытии отдела все учетные записи группы, связанные с отделом, могут остаться без членов, но учетная запись группы все еще будет существовать. Учетные записи компьютеров, которые были созданы для несуществующих сейчас компьютеров или больше не нужны.
Учетные записи групп, которые были созданы для присвоения разрешений ресурсам, которых больше не существует.
Что отключать:
Пользователь не нуждается в учетной записи в течение долгого времени, но она понадобится ему позже.
Можно сохранить все права, разрешения и членство в группах для этой учетной записи и назначить ее другому пользователю.
Учетная запись пользователя владелец важных сетевых ресурсов. Кому дать учетную запись владельца, еще не решено.
Процесс объединения групп включает объединение членства учетных записей групп, которые выполняют одну и ту же функцию с сохранением соответствующих разрешений. Оценка того, должны ли быть объединены учетные записи групп, преимущественно ручная операция. Нужно определить требуемый критерий и сравнить его с членством в группах и разрешениями.
