Inaktive AD-Benutzer filtern
Befolgen Sie diese Anweisungen, um die inaktiven Benutzer in Ihren Active Directory-Domänen (AD) davon abzuhalten, mit Sophos Central zu synchronisieren.
Warnung
Wir empfehlen, inaktive Benutzer und Geräte zu entfernen, anstatt sich auf Filter zu verlassen. Inaktive Benutzerkonten und Geräte stellen ein Sicherheitsrisiko dar. Für weitere Informationen siehe Einrichtung der Active Directory-Synchronisierung.
Wenn Sie AD Sync einrichten, können Sie LDAP-Abfragefilter verwenden, um die Benutzer und Gruppen zu finden, die Sie synchronisieren möchten. Sie können auch Ihre Filter ändern und dann erneut synchronisieren, wenn Sie die Benutzer, Gruppen und Geräte ändern möchten, die Sie synchronisieren. Sie können LDAP-Attribute in Ihren LDAP-Abfragefiltern verwenden, um die Synchronisierung inaktiver Benutzer mit Sophos Central zu verhindern.
Sie können die Attribute lastLogon
und lastLogonTimestamp
verwenden. Sie müssen berücksichtigen, wie diese Attribute funktionieren, wenn Sie sie verwenden. Aktuelle, korrekte Informationen können dadurch nicht garantiert werden.
- Das Attribut
lastLogon
befindet sich zwar wahrscheinlich auf dem neuesten Stand, wird aber nicht über Ihre Domänencontroller repliziert. Dies bedeutet, dass Sie alle Domänencontroller abfragen müssen. - Das Attribut
lastLogonTimestamp
ist möglicherweise veraltet. Die meisten Benutzer filtern jedoch mit diesem Attribut nach inaktiven Benutzern.
Mehr Informationen zur Verwendung dieser Attribute finden Sie unter Erklärungen zu den Attributen des AD-Kontos.
Um mit lastLogonTimestamp
inaktive Benutzer herauszufiltern, gehen Sie wie folgt vor:
- Legen Sie Stichtag und Uhrzeit für die Einbeziehung von Benutzern in Ihre Synchronisierung fest, zum Beispiel: 1. Dezember 2020, 00:01 Uhr.
- Konvertieren Sie dies mit einem Konvertierungstool in
LDAP/FILETIME
, z. B. LDAP, Active Directory und Filetime Timestamp Converter. In unserem Beispiel ergibt Stichtag und Uhrzeit 132581431640000000. - Richten Sie die Synchronisierung mit Active Directory ein, sofern noch nicht erfolgt.
- Klicken Sie in Active Directory Synchronization Setup auf AD-Filter.
- Geben Sie im Feld Benutzerdefinierte Filter
lastLogonTimestamp
sowie Ihren konvertierten Stichtag und Ihre konvertierte Uhrzeit ein. Zum Beispiel:lastLogonTimestamp >=132581431640000000
. - Überprüfen Sie Ihre Einstellungen und Filter und führen Sie die Synchronisierung durch.