Como marcar antigos funcionários na estrutura do LDAP?

Você pode criar um grupo e adicioná-lo a isso, mas acho que transferi-lo para uma nova unidade organizacional é a melhor resposta. Movê-los para uma OU separada realiza o objetivo declarado de "dividi-los em funcionários atuais e ex-funcionários".

Além disso, eu tomaria estas precauções de segurança:

• Eu também tomaria a precaução de alterar seu shell de login para /bin/false

• Observe que você deve alterar a senha e marcar a conta como Desativado. Você pode excluir o hash passwd ou substituí-lo por algo que você reconheceria mais tarde, como LOCK

Essas etapas impedirão que ex-funcionários consigam se conectar ou, se de alguma forma adivinharem a senha, façam algo útil.

Não há nenhum. O que fazemos é deixá-los no último post e desativá-los.

Em nosso Active Directory, fazemos o script desativando a conta e movendo-a para uma UO de funcionários encerrados. Após 6mo nessa UO eles são deletados. Pode ser muito trabalhoso mudar cada um manualmente, mas é para isso que serve script.

Mover a entrada da conta para fora da base de pesquisa padrão para contas é uma boa prática.

Se suas entradas de usuário forem folhas ou você estiver usando back_hdb no OpenLDAP , então você pode usar o comando ldapmodrdn ou ldap_rename () função na API LDAP para movê-los. Se forem sub-árvores, talvez seja necessário copiar recursivamente a subárvore e, em seguida, excluí-la recursivamente.