跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=directory-service-AD-sync-filter

篩選非使用中的 AD 使用者

按照以下說明操作,停止 Active Directory (AD) 域中非使用中的使用者與 Sophos Central 同步。

則警告

建議您移除非使用中的使用者及裝置,而不要依賴篩選器。非使用中的使用者帳戶和裝置都具有安全性風險。如欲瞭解更多詳情,請參閱 設定從 Active Directory 進行同步處理

設定 AD Sync 時,您可以使用 LDAP 查詢篩選器尋找要同步處理的使用者和群組。如果要變更正在同步的使用者、群組和裝置,您也可以變更篩選器,然後再次同步。您可以使用 LDAP 查詢篩選器中的 LDAP 屬性來阻止非使用中的使用者與 Sophos Central 同步。

您可以使用 lastLogonlastLogonTimestamp 屬性。使用這些屬性時,您需要考慮這些屬性的運作方式。使用它們並不保證實時或準確的資訊。

  • lastLogon 屬性較有可能是最新的,但不會在您的域控制器上複寫。這意味着您需要查詢每個域控制器。
  • lastLogonTimestamp 屬性可能已過期。但是,這是大多數人在篩選非使用中的使用者時使用的屬性。

您可以在 瞭解 AD 帳戶屬性 中找到有關使用這些屬性的更多說明。

要使用 lastLogonTimestamp 篩選掉非使用中的使用者,請執行以下操作:

  1. 確定在同步中納入使用者的截止日期和時間,例如,2020 年 12 月 1 日 00:01。
  2. 使用轉換工具(如 LDAP、Active Directory 和 Filetime 時間戳記轉換器)將此項轉換爲 LDAP/FILETIME。使用我們的截止日期和時間範例,可以獲得 132581431640000000。
  3. 如果您尚未執行此操作,請設定與 Active Directory 同步進行同步。
  4. Active Directory 同步設定中,按一下 AD 篩選器
  5. 自訂篩選器方塊中,輸入 lastLogonTimestamp 以及轉換後的截止日期和時間。例如 lastLogonTimestamp >=132581431640000000
  6. 檢閱您的設定和篩選器並進行同步。