none
AzureADConnectで同期をとる際、一定期間ログオンしていないアカウントを排除するための判断属性について RRS feed

  • 質問

  • いつも参考にさせて頂いております。

    AzureADConnectを使ってオンプレADとの同期を計画しているのですが、ユーザー、コンピュータオブジェクトのどれを同期対象とするかを https://blogs.technet.microsoft.com/jpntsblog/2014/06/22/521/  に記載のある以下属性を使って、一定期間ログオンしていないアカウントを排除しようと思っております。

    lastlogonやlastlogontimestamp
    msDS-FailedInteractiveLogonCount
    msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon
    msDS-LastFailedInteractiveLogonTime
    msDS-LastSuccessfulInteractiveLogonTime

    これ以外でオブジェクトの一定期間ログオンしていないアカウントを判断できる属性はございますでしょうか。

    また、「うちではこんなやり方をしている」「こんなやり方もあるのでは」 等の情報がございましたら是非ご教示いただけないでしょうか。

    どうぞ宜しくお願いいたします。


    • 編集済み S.K_0512 2019年9月6日 8:02
    2019年9月6日 8:01

回答

  • チャブーンです。

    この件ですが、したのページですでに答え( msDS-LastSuccessfullInteractiveLogonTimeを使う)が出ているにもかかわらず、別の解が必要という理由や背景はなんでしょうか?

    https://blogs.technet.microsoft.com/jpntsblog/2014/06/22/521/

    ----
    これまで、直近のログオンした日時を確認したいというお問い合わせは多く頂戴しており、その度複製に関するご要望を頂いておりました。そういった場合には、是非 msDS-LastSuccessfullInteractiveLogonTime の属性をご確認いただければと思います。
    ----

    うえの前提は「ログオン記録に関する属性値」に前回ログオンの成功・失敗の情報があるため、これを使ってログオン判定を行おう、といっているだけです。Active Directoryの全属性はしたのページにありますが、うえの資料にある以外のログオンに関する属性はとくにありません。("logon"でページ内検索すればすぐにわかります)

    https://docs.microsoft.com/ja-jp/windows/win32/adschema/attributes-all

    もしも 「msDS-LastSuccessfullInteractiveLogonTimeを使ったAADConnectからの同期削除方法がわからない」といったことなのであれば、はっきりその旨の質問をしていただいたほうが、回答がつきやすいと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2019年9月7日 2:50
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、したのページですでに答え( msDS-LastSuccessfullInteractiveLogonTimeを使う)が出ているにもかかわらず、別の解が必要という理由や背景はなんでしょうか?

    https://blogs.technet.microsoft.com/jpntsblog/2014/06/22/521/

    ----
    これまで、直近のログオンした日時を確認したいというお問い合わせは多く頂戴しており、その度複製に関するご要望を頂いておりました。そういった場合には、是非 msDS-LastSuccessfullInteractiveLogonTime の属性をご確認いただければと思います。
    ----

    うえの前提は「ログオン記録に関する属性値」に前回ログオンの成功・失敗の情報があるため、これを使ってログオン判定を行おう、といっているだけです。Active Directoryの全属性はしたのページにありますが、うえの資料にある以外のログオンに関する属性はとくにありません。("logon"でページ内検索すればすぐにわかります)

    https://docs.microsoft.com/ja-jp/windows/win32/adschema/attributes-all

    もしも 「msDS-LastSuccessfullInteractiveLogonTimeを使ったAADConnectからの同期削除方法がわからない」といったことなのであれば、はっきりその旨の質問をしていただいたほうが、回答がつきやすいと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2019年9月7日 2:50
    モデレータ
  • URL情報ありがとうございます。

    こちらの情報にたどり着けなかった為、質問させて頂きました。

    ご指摘ありがとうございます。

    2019年9月9日 0:55