当社は、人事管理のための第三者ツールと当社を統合し、Active Directory for SSOを使用します。このサードパーティのツールにログインしてW-2sのようなものを取得できるようにするには、終了した従業員が必要ですが、終了時にそれらをADで無効にすると、これを防ぐようです。これのベストプラクティスは何ですか?強制終了した従業員をADでアクティブにしておくことなく、たとえ制限されたOU内にいても、SSOのためにADを引き続き使用することはできますか?Active Directoryと無効なアカウントを使用するSSO
ドメインに対して認証する必要がある場合は、アカウントを無効にすることはできません。ただし、ログインできる場所を制限できます。
(すなわち、彼らは任意のコンピュータに対話的にログインすることはできません)「ローカルでログオン」拒否し、この設定はあり:https://4sysops.com/archives/deny-and-allow-workstation-logons-with-group-policy/
しかし、リモートで任意の場所に、まだあなたのために、あまりにも開いかもしれログインが。
また、各アカウントに「ログオン」設定があります。 ADユーザーとコンピュータで、ユーザーオブジェクトの[アカウント]タブには、[ログオン]ボタンがあります。ここで、ユーザーが「すべてのコンピュータ」にログインできるのか、特定のものだけにログインできるのかを指定できます。これを使用して、アクセスする必要があるアプリケーションのサーバー名だけを追加することができます。
以前はこの機能を個人的に使用したことはありません。そのためには、これを使いこなす必要があるかもしれません。それをユーザーのOU全体に適用する場合は、おそらくグループポリシーでも設定する方法があります。