作为经常处理AD/LDAP管理问题的人，我来给你捋清楚离职员工账户的常见处理方式——这主要看你们公司的内部政策，但行业里主流是两种做法：

1. 禁用账户（最普遍的操作） #

这是绝大多数公司的首选，原因很务实：

• 账户会被标记为已禁用状态，无法登录任何依赖AD的系统（比如企业邮箱、内网平台、VPN等），但账户本身和所有关联属性（公司ID、历史邮箱地址、部门归属、入职时间等）都会完整保留在Active Directory中
• 你依然可以通过LDAP搜索查询到这些信息，搜索结果里会明确显示账户的禁用状态
• 这么做的好处：一是保留完整的审计轨迹（比如邮件归档、权限变更记录都能追溯），二是如果员工后续复职，直接启用账户就能恢复所有原有配置，不用重新搭建

有些公司还会把禁用的离职员工账户统一移动到专门的「离职员工」OU（组织单元）里，方便批量管理，但这完全不影响数据的可搜索性。

2. 删除账户（仅特定场景使用） #

这种操作比较激进，只有在满足严格合规要求（比如某些行业强制要求彻底清除离职员工数据）或者员工存在严重违规行为时才会采用：

• 删除操作会把账户从Active Directory中彻底移除，所有关联的属性信息（公司ID、邮箱、历史权限记录等）都会被删除
• 之后你无法通过LDAP搜索到该员工的任何相关信息，相当于从AD系统里“彻底消失”

内容的提问来源于stack exchange，提问作者Kranthi