Bonjour,
Lorsqu’un compte est désactivé, il faut avant cela le retirer de l’ensemble des groupes auquel il appartient. Bien évidemment, une sauvegarde de ses ACLs doit être effectuée avant toute modification de ce genre. Vous pouvez par exemple sauvegarder les groupes membres d’un compte dans un fichier csv afin de pouvoir les restaurer rapidement si besoin.
Une fois cette étape effectuée, le compte désactivé pourra alors être placé dans une unité d’organisation spécifique pour tous les comptes désactivés sur laquelle des restrictions de sécurité pourront s’appliquer.
Voici les recommandations de l’ANSSI à ce sujet :
Si le compte désactivé était membre d’un groupe à pouvoir, n’oubliez pas de suivre cet article :
http://www.antrimohamed.fr/admincount-et-adminsdholder/
Sources :
https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-active-directory/
Merci.