none
ADLDS User synchronisation RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen

    Wir setzten neben ADS auch ADLDS für LDAPS Anfragen für Applikationen zur Verfügung.

    Synchronisiert werden User und Gruppen. Funktioniert auch alles bestens.

    Wenn eine Person die Firma verlässt wird dessen Account erst nach 3 Monaten gelöscht. Der Account wird disabled und die Mailadresse wird zu _vorname.nachname@firma.com "_mailadresse" geändert. Nun versuche ich solche Accounts nicht zu synchronisieren die im Mail Attribut ein "_*" haben, dazu habe ich das XML Konfig File für den ADS -> ADLDS Synch angepasst.

    <object-filter>(|(&amp;(objectClass=user)(!mail=_*))(objectClass=group))</object-filter>

    Auch das funktioniert perfekt. Nur bleibt der synchronisierte Account im ADLDS Verzeichnis stehen und wird nicht gelöscht. Was ja eigentlich auch richtig so ist, da es keine Änderungen am Account gibt weil dieser nicht mehr synchronisiert wird.

    Trodem möchte ich eine Lösung finden, dass solche Account im ADLDS verschwinden, obwohl diese noch im ADS stehen, aber als "ausgetreten" markiert sind.

    Danke fürs Feedback, Gruss Dani

    Donnerstag, 12. Juni 2014 13:55
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    > Wir setzten neben ADS auch ADLDS für LDAPS Anfragen für Applikationen
    > zur Verfügung.
     
    Für LDAPS brauchst Du kein AD LDS :)
     
    Die anderen Fragen muss jemand beantworten, der sich mit dem Sync besser
    auskennt als/wie ich :))
     
    Oder Du löscht im ADLDS einfach per Batch alle entsprechenden Accounts...
     
    dsquery * -filter "(&(mail=_*))" | dsrm -c
    (Mußt natürlich Server und Port noch mit angeben...)
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Donnerstag, 12. Juni 2014 14:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin

    >Für LDAPS brauchst Du kein AD LDS :)

    ...Spassvogel (sorry nicht ernst nehmen)...Kommt auf die Anforderungen an, in diesem Fall ist es so, aber das sollte nicht das Thema sein.

    >Oder Du löscht im ADLDS einfach per Batch alle entsprechenden Accounts...

    Geht auch nicht, da das Attribut Mail nicht verändert wird (wie in meiner Anfrage geschrieben werden diese Accounts nicht mehr synchronisiert). Somit steht im ADLDS immer noch die "normale" Adresse.

    Danke trotzdem, Dani

    Donnerstag, 12. Juni 2014 14:31
    |
  • Question
    Anmelden
    0
    Anmelden

    > Geht auch nicht, da das Attribut Mail nicht verändert wird (wie in meiner Anfrage geschrieben werden diese Accounts nicht mehr synchronisiert). Somit steht im ADLDS immer noch die "normale" Adresse.

    Dann hol Dir aus dem ADS die samAccountNames aller _*-Mailadressen und lösch die dann im AD LDS.

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Freitag, 13. Juni 2014 10:05
    |
  • Question
    Anmelden
    0
    Anmelden

    yep, habe ich auch so gemacht. Nach dem Synch Job werden allle _* Mailadressen gelöscht. Dachte es hat evtl. jemand eine andere Idee.

    Gruss

    Samstag, 14. Juni 2014 11:20
    |