Identifizieren, wenn ein Active Directory-Benutzer (AD) gelöscht (oder inaktiv gemacht) wird
Vorbereitungen
Erforderliche Rolle: admin
Warum und wann dieser Vorgang ausgeführt wird
Eine Methode besteht darin, den aktiven Status von AD-Benutzern nachzuverfolgen und eine Geschäftsregel zu erstellen, um die entsprechenden Konten zu aktualisieren, wenn ein AD-Konto inaktiv ist.
Prozedur
-
Erstellen Sie ein neues Zeichenfolgenfeld in der Benutzertabelle [sys_user], um den Wert des Felds AD userAccountControl nachzuverfolgen.
Beispiel: u_ad_user_account.
-
Erstellen Sie ein LDAP-Transformationsskript, um den Feldwert festzulegen.
target.u_ad_user_account = source.userAccountControl
-
Aktualisieren Sie den LDAP-Filter, um deaktivierte AD-Konten anzuzeigen.
Hier ist ein Beispiel für einen Filter.
(&(objectClass=person)(sn=*)(!(objectClass=computer))(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Hier ist ein Beispiel für einen Ersatzfilter, den Sie verwenden können.
(&(objectClass=person)(sn=*)(!(objectClass=computer)))
-
Erstellen Sie eine onChange-Geschäftsregel, um das aktive Feld auf „false“ zu setzen, wenn das Feld u_ad_user_account den Wert 514 hat.
„514“ zeigt einen inaktiven Account an.