Supprimer l'accès en cas de compte AD désactivé
-
Bonjour
Dans les filtres LDAP, est-il possible de vérifier Enabled=$TRUE pour que l'accès se fasse?
Ou avez vous une autre solution?
Je sais que le changement d'OU du compte supprime l'accès, mais dans certains cas, ce changement n'est pas possible.Bien cordialement
Michael -
Bonjour @Michael-0 ,
Il est possible de vérifier tous les champs LDAP, à condition qu'ils soient retournés par votre annuaire distant.
Si le champ est bien retourné, une comparaison peut être effectuée.Comment utilisez-vous ce champ en interne ?
Nous avons un autre post sur ce sujet qui devrait vous intéresser: https://community.ceo-vision.com/topic/1011/synchronisation-ldap-comptes-désactivés/3
Benjamin
-
Bonjour @bcrestani
Merci pour votre message, je viens de faire le lien avec le topic proposé, et après quelque recherche, est il donc possible d'ajouter un filtre sur UserAccountControl pour qu'il soit différend des valeurs 514 ou 66050?
Puisqu'il semble qu'un compte inactif renvoi l'une de ces deux valeurs.Merci beaucoup pour votre aide
-
Oui c'est bien cela, selon la documentation de Microsoft, pour un compte désactivé: NORMAL_ACCOUNT (0x0200) + ACCOUNTDISABLE (0x0002)= 514
Pour 66050, cela serait: DONT_EXPIRE_PASSWORD + NORMAL_ACCOUNT + ACCOUNTDISABLE ; c'est une valeur que votre annuaire retourne pour vos comptes désactivés ?
Vous pouvez essayer de filtrer dans GoFAST avec le filtre suivant: UserAccountControl!=514|UserAccountControl!=66050
-
Tout à fait pour la seconde valeur, j'ai vérifié mes différentes sorties avec la commande PowerShell suivante:
Get-ADUser -Filter {Enabled -eq $False} -Properties * |
Select-Object UserAccountControl |
Sort-Object UserAccountControl -Unique
Si cela peut aider.Je vais tester votre filtre.
Merci beaucoup et belle journée à vous
Michael -
Merci pour ces informations ! Elles aideront sûrement des membres du forum :))
Je reste disponible au besoin.
Benjamin