In vielen Unternehmen erfolgt die Nutzerverwaltung zentral über das Active Directory als zentrales Identity Management System. Zugriffe in andere Sub-Systeme werden über Gruppen im ADS gesteuert. Berechtigungen auf Sub-Systeme werden vergeben und auch wieder entzogen über die Gruppenmitgliedschaft im ADS. Damit ist das ADS das führende System und der Ort der Wahrheit. Dies ist auch der übliche Weg wie viele Softwareanbieter ihre Nutzerverwaltung an das ADS anbinden. Einerseits kann man im Passwordsafe zwar Nutzer importieren, aber nicht mehr entfernen. Warum Mateso hier diesen inkosequenten Ansatz fährt erschließt sich mir und wohl auch manch anderem Nutzer in dem Forum nicht ganz.

Es wäre also eine deutliche Verbesserung der Nutzerverwaltung im Passwordsafe, wenn Nutzer, die über eine Gruppe in den Passwordsafe importiert werden, auch wieder aus dem Passwordsafe entfernt werden, wenn der Nutzer aus der ADS Gruppe entfernt wird. Mit diesem zentralen Ansatz bleiben keine Berechtigungsleichen im der Passwordatenbank zurück. Admins müssen keine zwei Orte pflegen, was die Arbeit erleichtert und Fehler aufgrund von Berechtigungsleichen vermeidet. Man könnte sich auch den fragwürdigen Gruselansatz mit den "deleted Objects" Container sparen.