Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=directory-service-AD-sync-filter

Filtro degli utenti AD inattivi

Seguire queste istruzioni per impedire agli utenti inattivi presenti nei domini di Active Directory (AD) di sincronizzarsi con Sophos Central.

Avviso

Si consiglia di rimuovere gli utenti e i dispositivi inattivi, invece di utilizzare i filtri. Gli account e i dispositivi degli utenti inattivi rappresentano un rischio di sicurezza. Per ulteriori informazioni, vedere Impostazione della sincronizzazione con Active Directory.

Quando si configura la Sincronizzazione con AD, è possibile utilizzare filtri per le query LDAP per individuare gli utenti e i gruppi da sincronizzare. È anche possibile cambiare i filtri e quindi eseguire nuovamente la sincronizzazione, se si desidera modificare gli utenti, i gruppi e i dispositivi da sincronizzare. È possibile utilizzare gli attributi LDAP nei filtri per le query LDAP, per impedire agli utenti inattivi di sincronizzarsi con Sophos Central.

È possibile utilizzare gli attributi lastLogon e lastLogonTimestamp. Quando si utilizzano questi attributi, occorre tenere presente come funzionano. Il loro utilizzo non garantisce informazioni in tempo reale o accurate.

  • L'attributo lastLogon è quello che ha maggiori probabilità di essere aggiornato, ma non viene replicato nei controller di dominio. Ciò significa che è necessario eseguire query su tutti i controller di dominio.
  • L'attributo lastLogonTimestamp potrebbe non essere aggiornato. Tuttavia, questo è l'attributo più frequentemente utilizzato per filtrare gli utenti inattivi.

Per ulteriore assistenza su come utilizzare questi attributi, consultare la pagina Capire gli attributi degli account di AD.

Per filtrare gli utenti inattivi con lastLogonTimestamp, procedere come segue:

  1. Determinare la data e l'ora limite per l'inclusione degli utenti nella sincronizzazione, ad esempio: 1º dicembre 2020, 00:01.
  2. Convertire questo valore in LDAP/FILETIME utilizzando uno strumento di conversione, ad esempio LDAP, Active Directory and Filetime Timestamp Converter. Utilizzando il nostro esempio di data e ora limite si ottiene 132581431640000000.
  3. Se non è già stato fatto, configurare la sincronizzazione con Active Directory.
  4. In Active Directory Synchronization Setup (configurazione della Sincronizzazione con Active Directory), cliccare su AD Filters (filtri di AD).
  5. Nella casella Custom filters (filtri personalizzati), immettere il lastLogonTimestamp e la data e l'ora limite convertite. Ad esempio lastLogonTimestamp >=132581431640000000.
  6. Verificare le impostazioni e i filtri ed effettuare la sincronizzazione.