Rechercher des comptes LDAP inactifs à l’aide du champ userAccountControl

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Identifiez quand un utilisateur Active Directory (AD) est supprimé (ou rendu inactif).

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Une méthode consiste à suivre l’état actif des utilisateurs AD et à créer une règle métier pour mettre à jour les comptes correspondants lorsqu’un compte AD est inactif.

    Procédure

    1. Créez un champ de chaîne sur la table Utilisateur [sys_user] pour suivre la valeur du champ AD userAccountControl .
      Par exemple : u_ad_user_account.
    2. Créez un script de transformation LDAP pour définir la valeur du champ. 
      target.u_ad_user_account = source.userAccountControl
    3. Mettez à jour le filtre LDAP pour afficher les comptes AD désactivés.
      Voici un exemple de filtre. 
      (&(objectClass=person)(sn=*)(!(objectClass=computer))(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Voici un exemple de filtre de remplacement que vous pouvez utiliser.

      (&(objectClass=person)(sn=*)(!(objectClass=computer)))
    4. Créez une règle métier onChange pour définir le champ actif sur false chaque fois que le champ u_ad_user_account a la valeur 514.
      « 514 » indique un compte inactif.