Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=directory-service-AD-sync-filter

Filtrar usuários do AD inativos

'Siga estas instruções para impedir que os usuários inativos nos domínios do Active Directory (AD) sejam sincronizados com o Sophos Central.'

Alerta

Recomendamos que você remova usuários e dispositivos inativos em vez de depender de filtros. Contas de usuário e dispositivos inativos são um risco à segurança. Para obter mais informações, consulte Configurar sincronização com o Active Directory.

Ao configurar o AD Sync, você pode usar filtros de consulta LDAP para localizar os usuários e grupos que deseja sincronizar. Você também pode alterar seus filtros e sincronizar novamente se quiser alterar os usuários, grupos e dispositivos que está sincronizando. Você pode usar atributos LDAP em seus filtros de consulta LDAP para impedir que usuários inativos sincronizem com o Sophos Central.

Você pode usar os atributos lastLogon e lastLogonTimestamp. Você precisa considerar como esses atributos funcionam quando os utiliza. O uso deles não garante informações precisas ou em tempo real.

  • É mais provável que o atributo lastLogon esteja atualizado, mas não seja replicado em todos os controladores de domínio. Isso significa que você precisa consultar cada controlador de domínio.
  • O atributo lastLogonTimestamp pode estar desatualizado. No entanto, esse é o atributo que a maioria das pessoas usa ao filtrar usuários inativos.

Você pode encontrar mais ajuda sobre esses atributos em Noções básicas sobre atributos da conta AD.

Para usar lastLogonTimestamp para filtrar usuários inativos, faça o seguinte:

  1. Determine a data e a hora de corte para incluir usuários na sincronização, por exemplo, 1 de dezembro de 2020, 00:01.
  2. Converta isso em LDAP/FILETIME usando uma ferramenta de conversão, como LDAP, Active Directory e Filetime Timestamp Converter. Usando nosso exemplo, a data e a hora de corte dão 132581431640000000.
  3. Configure a sincronização com a sincronização do Active Directory, caso ainda não tenha feito isso.
  4. Em Active Directory Synchronization Setup, clique em Filtros AD.
  5. Na caixa de filtros personalizados, insira lastLogonTimestamp e a data e hora de corte convertidas. Por exemplo, lastLogonTimestamp >=132581431640000000.
  6. Revise suas configurações e filtros e sincronize.