记录 AD 用户操作（已删除用户）

Question

我们即将将 Intranet Web 应用程序从使用专有的基于表单的安全性迁移到 Active Directory。该应用程序记录了各种用户操作，并且有大量与用户帐户相关的数据。我们的计划是迁移各种表中的所有这些 UserId 列：从链接专有系统的外键到 Active Directory GUID。两个系统之间的登录名相同，因此迁移不是问题。

但是，我们发现了一个主要问题：我们的安全政策规定必须从 Active Directory 中删除非活动用户。我们的安全日志中的孤立 GUID 使这些条目对任何查看它们的人来说都毫无意义。

应用程序如何维护关于已从 Active Directory 中删除的 GUID 的人类可读的基本信息（名称、登录名等）？

我们考虑了以下选项。这些选项之一可能最终成为最佳选择，但我们希望做得更好：

• 对日志表进行非规范化并存储名称/登录名而不是 GUID（对于日志来说还可以，对于活动数据来说就不是这样了。）
• 维护一个永远不会删除条目的 AD 对象信息“缓存”
• 保留 AD 帐户但停用/锁定它

Answer 1

正如 Tim 所说，我不会完全非规范化日志表，而是将相关的 AD 信息与 GUID 一起存储。但是，如果您在其他区域需要此 AD 信息，请将其缓存在您的用户表中。我建议不要更改您的安全策略。

Answer 2

对于日志记录，我赞成非规范化方法，但要保留 id。我将用户的 ID 与其他人类可读的识别信息一起存储。对于活跃用户，我仍然可以在连接中使用 id（如有必要）。对于非活动（已删除）用户，我有供审计员使用的人类可读表格。

Answer 3

我们决定使用“缓存”表来存储映射到友好用户信息的 GUID 字典。这将需要一个抽象 AD 用户列表的视图，并从缓存中合并丢失的条目。