Identifiziert, wenn ein Active Directory-Anwender (AD) gelöscht (oder deaktiviert) wird
Vorbereitungen
Erforderliche Rolle: admin
Warum und wann dieser Vorgang ausgeführt wird
Eine Methode besteht darin, den aktiven Status von AD-Anwendern nachzuverfolgen und eine Geschäftsregel zu erstellen, um entsprechende Accounts zu aktualisieren, wenn ein AD-Account inaktiv ist.
Prozedur
-
Erstellen Sie ein neues Zeichenfolgenfeld in der Benutzertabelle [sys_user], um den Wert des AD -Felds userAccountControl nachzuverfolgen.
Beispiel: u_ad_user_account.
-
Erstellen Sie ein LDAP-Transformationsskript, um den Feldwert festzulegen.
target.u_ad_user_account = source.userAccountControl
-
Aktualisieren Sie den LDAP-Filter so, dass deaktivierte AD-Accounts angezeigt werden.
Hier ist ein Beispiel für einen Filter.
(&(objectClass=person)(sn=*)(!(objectClass=computer))(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Hier ist ein Beispiel für einen Ersatzfilter, den Sie verwenden können.
(&(objectClass=person)(sn=*)(!(objectClass=computer)))
-
Erstellen Sie eine onChange-Geschäftsregel, um das Feld „Aktiv“ auf „false“ zu setzen, wenn das Feld u_ad_user_account den Wert 514 aufweist.
„514“ gibt einen inaktiven Account an.