콘텐츠로 이동

비활성 AD 사용자 필터링

'다음 지침에 따라 Active Directory (AD) 도메인의 비활성 사용자가 Sophos Central과 동기화되지 않도록 합니다.'

경고

필터를 사용하지 않고 비활성 사용자와 해당 장치를 제거하는 것이 좋습니다. 비활성 사용자 계정과 장치에는 보안 위험이 있습니다. 자세한 내용은 Active Directory를 사용하여 동기화 설정를 참조하십시오.

AD 동기화를 설정할 때 LDAP 쿼리 필터를 사용하여 동기화할 사용자 및 그룹을 찾을 수 있습니다. 동기화할 사용자, 그룹, 장치를 변경하려는 경우 필터를 변경한 다음 다시 동기화할 수도 있습니다. LDAP 쿼리 필터에서 LDAP 속성을 사용하여 비활성 사용자가 Sophos Central과 동기화하지 못하도록 할 수 있습니다.

lastLogonlastLogonTimestamp 특성을 사용할 수 있습니다. 이러한 특성을 사용할 때에는 해당 특성의 작동 원리를 고려해야 합니다. 이러한 특성의 사용이 실시간 또는 정확한 정보를 보장하지 않습니다.

  • lastLogon 특성은 최신 상태일 가능성이 높지만 도메인 컨트롤러 전반에서 복제되지 않습니다. 즉, 모든 도메인 컨트롤러를 쿼리해야 합니다.
  • lastLogonTimestamp 특성이 최신 상태가 아닐 수 있습니다. 그렇지만 비활성 사용자를 필터링할 때 대다수 사용자가 사용하는 특성입니다.

이 특성 사용에 대한 추가 도움말은 AD 계정 특성 이해에 나와 있습니다.

lastLogonTimestamp를 사용하여 비활성 사용자를 필터링하려면 다음을 수행합니다.

  1. 사용자를 동기화에 포함하는 구분 날짜 및 시간을 결정합니다(예: 2020년 12월 1일 00:01).
  2. LDAP, Active Directory 및 FILETIME 타임스탬프 변환기와 같은 변환 도구를 사용하여 이 옵션을 LDAP/FILETIME으로 변환합니다. 이 예의 구분 날짜 및 시간을 사용하면 132581431640000000이 나옵니다.
  3. 아직 동기화를 설정하지 않은 경우 Active Directory 동기화와의 동기화를 설정합니다.
  4. Active Directory 동기화 설정에서 AD 필터를 클릭합니다.
  5. 사용자 지정 필터 상자에 lastLogonTimestamp 및 변환된 구분 날짜 및 시간을 입력합니다. 예: lastLogonTimestamp >=132581431640000000.
  6. 설정 및 필터를 검토하고 동기화합니다.