Мы отключаем учетные записи. Их "описания" обновляются для указания на дату отъезда, и они перемещены в AD иерархию к папке в зависимости от того, какое состояние отъезда они находятся в (gone+email переданы где-нибудь, gone+pre-archive, заархивированный).
У нас есть большое количество сложных файлов и иерархий папок. Если Вы удаляете учетную запись из Active Directory, и файлу/папке с явным ACLs в расчете на пользователя отобразят те данные ACL как SID. И я не нашел способа фигурировать из SID, которые считают его, раньше был - потому что учетная запись была удалена.
Таким образом, когда люди смотрят на проблемы владения/полномочий, которые ведут себя странно, мы видим (и удалите), владения и полномочия людей, которые больше не присутствуют.
Обновление, намного позже: Я учился от коллеги, который подвергается аудиту от Microsoft, которая считает в Вашем AD, требуют лицензии "на рабочее место" (если Вы качаете тот путь), являются ли они живым человеком и присутствует ли человек все еще. Таким образом, существует аргумент, который будет сделан для удаления!
После долгого дня проверки, наконец понял, что они говорили о другом поле полномочий! В удаленных свойствах веб-сайтов выполняют полномочия, и все в порядке теперь.