Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=directory-service-AD-sync-filter

Inaktive AD-Benutzer filtern

Befolgen Sie diese Anweisungen, um die inaktiven Benutzer in Ihren Active Directory-Domänen (AD) davon abzuhalten, mit Sophos Central zu synchronisieren.

Warnung

Wir empfehlen, inaktive Benutzer und Geräte zu entfernen, anstatt sich auf Filter zu verlassen. Inaktive Benutzerkonten und Geräte stellen ein Sicherheitsrisiko dar. Für weitere Informationen siehe Einrichtung der Active Directory-Synchronisierung.

Wenn Sie AD Sync einrichten, können Sie LDAP-Abfragefilter verwenden, um die Benutzer und Gruppen zu finden, die Sie synchronisieren möchten. Sie können auch Ihre Filter ändern und dann erneut synchronisieren, wenn Sie die Benutzer, Gruppen und Geräte ändern möchten, die Sie synchronisieren. Sie können LDAP-Attribute in Ihren LDAP-Abfragefiltern verwenden, um die Synchronisierung inaktiver Benutzer mit Sophos Central zu verhindern.

Sie können die Attribute lastLogon und lastLogonTimestamp verwenden. Sie müssen berücksichtigen, wie diese Attribute funktionieren, wenn Sie sie verwenden. Aktuelle, korrekte Informationen können dadurch nicht garantiert werden.

  • Das Attribut lastLogon befindet sich zwar wahrscheinlich auf dem neuesten Stand, wird aber nicht über Ihre Domänencontroller repliziert. Dies bedeutet, dass Sie alle Domänencontroller abfragen müssen.
  • Das Attribut lastLogonTimestamp ist möglicherweise veraltet. Die meisten Benutzer filtern jedoch mit diesem Attribut nach inaktiven Benutzern.

Mehr Informationen zur Verwendung dieser Attribute finden Sie unter Erklärungen zu den Attributen des AD-Kontos.

Um mit lastLogonTimestamp inaktive Benutzer herauszufiltern, gehen Sie wie folgt vor:

  1. Legen Sie Stichtag und Uhrzeit für die Einbeziehung von Benutzern in Ihre Synchronisierung fest, zum Beispiel: 1. Dezember 2020, 00:01 Uhr.
  2. Konvertieren Sie dies mit einem Konvertierungstool in LDAP/FILETIME, z. B. LDAP, Active Directory und Filetime Timestamp Converter. In unserem Beispiel ergibt Stichtag und Uhrzeit 132581431640000000.
  3. Richten Sie die Synchronisierung mit Active Directory ein, sofern noch nicht erfolgt.
  4. Klicken Sie in Active Directory Synchronization Setup auf AD-Filter.
  5. Geben Sie im Feld Benutzerdefinierte Filter lastLogonTimestamp sowie Ihren konvertierten Stichtag und Ihre konvertierte Uhrzeit ein. Zum Beispiel: lastLogonTimestamp >=132581431640000000.
  6. Überprüfen Sie Ihre Einstellungen und Filter und führen Sie die Synchronisierung durch.