Inaktive AD-Benutzer filtern

Befolgen Sie diese Anweisungen, um die inaktiven Benutzer in Ihren Active Directory-Domänen davon abzuhalten, mit Sophos Central zu synchronisieren.

Warnung Wir empfehlen, inaktive Benutzer und Geräte zu entfernen, anstatt sich auf Filter zu verlassen. Inaktive Benutzerkonten und Geräte stellen ein Sicherheitsrisiko dar. Weitere Informationen finden Sie unter Einrichtung der Active Directory-Synchronisierung.

Sie können LDAP-Abfragefilter verwenden, wenn Sie AD Sync einrichten, um die Benutzer und Gruppen zu finden, die Sie synchronisieren möchten. Sie können auch Ihre Filter ändern und dann erneut synchronisieren, wenn Sie die Benutzer, Gruppen und Geräte ändern möchten, die Sie synchronisieren. Sie können LDAP-Attribute in Ihren LDAP-Abfragefiltern verwenden, um die Synchronisierung inaktiver Benutzer mit Sophos Central zu verhindern.

Sie können die Attribute lastLogon und lastLogonTimestamp verwenden. Sie müssen berücksichtigen, wie diese Attribute funktionieren, wenn Sie sie verwenden. Aktuelle, korrekte Informationen können dadurch nicht garantiert werden.

  • Das Attribut lastLogon befindet sich zwar wahrscheinlich auf dem neuesten Stand, wird aber nicht über Ihre Domänencontroller repliziert. Dies bedeutet, dass Sie alle Domänencontroller abfragen müssen.
  • Das Attribut lastLogonTimestamp ist möglicherweise veraltet. Die meisten Benutzer filtern jedoch mit diesem Attribut nach inaktiven Benutzern.

Mehr Informationen zur Verwendung dieser Attribute finden Sie unter Erklärungen zu den Attributen des AD-Kontos.

Um mit lastLogonTimestamp inaktive Benutzer herauszufiltern, gehen Sie wie folgt vor:

  1. Legen Sie Stichtag und Uhrzeit für die Einbeziehung von Benutzern in Ihre Synchronisierung fest, zum Beispiel: 1. Dezember 2020, 00:01 Uhr.
  2. Konvertieren Sie dies mit einem Konvertierungstool in LDAP/FILETIME, z. B. LDAP, Active Directory und Filetime Timestamp Converter.
    In unserem Beispiel ergibt Stichtag und Uhrzeit 132581431640000000.
  3. Richten Sie die Synchronisierung mit Active Directory ein, sofern noch nicht erfolgt.
  4. Klicken Sie in Active Directory Synchronization Setup auf AD-Filter.
  5. Geben Sie im Feld Benutzerdefinierte Filter lastLogonTimestamp sowie Ihren konvertierten Stichtag und Ihre konvertierte Uhrzeit ein.
    Zum Beispiel lastLogonTimestamp >=132581431640000000.
  6. Überprüfen Sie Ihre Einstellungen und Filter und führen Sie die Synchronisierung durch.