Filtrar usuarios de AD inactivos

Siga estas instrucciones para impedir que los usuarios inactivos en los dominios de Active Directory se sincronicen con Sophos Central.

Aviso Se recomienda eliminar los usuarios inactivos y sus dispositivos en lugar de depender de filtros. Las cuentas de usuario y los dispositivos inactivos suponen un riesgo para la seguridad. Para obtener más información, consulte Configurar la sincronización con Active Directory.

Puede utilizar filtros de consulta LDAP cuando configure AD Sync para buscar los usuarios y grupos que desea sincronizar. También puede cambiar los filtros y, a continuación, sincronizar de nuevo si desea cambiar los usuarios, grupos y dispositivos que sincroniza. Puede utilizar atributos LDAP en los filtros de consulta LDAP para evitar que los usuarios inactivos se sincronicen con Sophos Central.

Puede utilizar los atributos lastLogon y lastLogonTimestamp. Debe tener en cuenta cómo funcionan estos atributos cuando los utiliza. Utilizarlos no garantiza una información actualizada o precisa.

  • El atributo lastLogon es más probable que esté actualizado, pero no se replica en los controladores de dominio. Esto significa que hay que realizar una consulta en cada controlador de dominio.
  • El atributo lastLogonTimestamp puede estar obsoleto. Sin embargo, este es el atributo que la mayoría utiliza al filtrar usuarios inactivos.

Para obtener más información sobre el uso de estos atributos, vaya a Entender los atributos de las cuentas de AD.

Restricción Es posible que la sincronización de unidades organizativas aún no esté disponible para todos los clientes.

Para utilizar lastLogonTimestamp para filtrar usuarios inactivos, haga lo siguiente:

  1. Determine la fecha y hora límite para incluir a los usuarios en la sincronización, por ejemplo, el 1 de diciembre de 2020 a las 00:01 h.
  2. Conviértalas a LDAP/FILETIME utilizando una herramienta de conversión, como LDAP, Active Directory y convertidor de marcas de tiempo FILETIME.
    Nuestro ejemplo de fecha y hora límite da como resultado 132581431640000000.
  3. Configure la sincronización con la sincronización de Active Directory, si aún no lo ha hecho.
  4. En Configuración de sincronización de Active Directory, haga clic en Filtros de AD.
  5. En el cuadro filtros personalizados, introduzca lastLogonTimestamp y la fecha y hora límite convertidas.
    Por ejemplo, lastLogonTimestamp >=132581431640000000.
  6. Revise la configuración y los filtros y sincronice.