Самое простое решение:
1. Железки хранить в инсайте, назначая человека владельцем
2. Доступы выдавать через группы в LDAP.
Увольняете человека - выгрузили все железки с помощью простого IQL, заблочили учетку в AD, удалив все группы. И нет никакой необходимости хранить историю прав доступа.