Encontrar contas LDAP inativas usando o campo userAccountControl

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Identifique quando um usuário do Active Directory (AD) é excluído (ou desativado).

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Um método é rastrear o status ativo dos usuários do AD e criar uma regra de negócios para atualizar as contas correspondentes quando uma conta do AD estiver inativa.

    Procedimento

    1. Crie um novo campo de cadeia de caracteres na tabela Usuário [sys_user] para rastrear o valor do campo userAccountControl do AD.
      Por exemplo: u_ad_user_account.
    2. Crie um script de transformação LDAP para definir o valor do campo. 
      target.u_ad_user_account = source.userAccountControl
    3. Atualize o filtro LDAP para exibir contas do AD desabilitadas.
      Este é um exemplo de um filtro. 
      (&(objectClass=person)(sn=*)(!(objectClass=computer))(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Este é um exemplo de um filtro de substituição que pode ser usado.

      (&(objectClass=person)(sn=*)(!(objectClass=computer)))
    4. Crie uma regra de negócios onChange para definir o campo ativo como falso sempre que o campo u_ad_user_account contiver o valor 514.
      "514" indica uma conta inativa.