「(userAccountControl:1.2.840.113556.1.4.803:=2)」を含む LDAP OU 定義により、非アクティブなユーザー以外にロックされたアカウントを取得できるIssue お客様によっては、LDAP 統合を使用して非アクティブなアカウントをインポートして取得したい場合があります。ただし、一部の LDAP では、userAccountControl:1.2.840.113556.1.4.803:=2 の検索によって、非アクティブなアカウントとロックされたアカウントの両方がフェッチされます。 非アクティブなアカウントとは、LDAP サーバーで無効なアカウントのことです。ロックされたアカウントとは、パスワードをリセットする必要があるアカウントや、間違ったパスワードを何度も入力したアカウントなどです。一部のケースでは、ロックされたアカウントがまだアクティブのままで、ユーザーがある時点でアカウントのロックを解除する場合もあります。 インスタンスの LDAP によりロックされたアカウントを無効にした場合、LDAP サーバーでアカウントのロックを解除すると、そのユーザーはインスタンスにログインできなくなり、アドミニストレーターがインスタンスのアカウントを再度有効にする必要があります。 症状 この問題は、次の場合に発生します。 非アクティブなアカウントを取得するための LDAP インポートがある。LDAP OU 定義フィルター (userAccountControl:1.2.840.113556.1.4.803:=2) を使用して非アクティブなアカウントがフェッチされる。アクティブなユーザーから、自分のユーザーがインスタンスにログインできず、最近アカウントがロックされた (パスワードの再試行回数が多すぎるなど) という報告があった。ユーザーから、LDAP アカウントがアクティブなままアカウントが無効になっているという報告があった。Cause(userAccountControl:1.2.840.113556.1.4.803:=2) を検索する LDAP サーバーでは、非アクティブなアカウントとロックされたアカウントを取得します。ResolutionuserAccessControl を含む LDAP クエリによって、非アクティブなユーザーとロックされたユーザーの両方を取得できることについて、システムアドミニストレーターが認識しておくようにしてください。 ロックされたアカウントのインポートを回避するには、userAccountControl が 512* または 544* であるレコードを回避するようにフィルターを変更するか、LDAP インポート変換マップの onBefore スクリプトを変更して必要なユーザーを無効にしないようにしてください。 注意: userAccountControl は、マスクによってユーザーアカウントのプロパティを制御するため、LDAP サーバー自体で定義される累積属性です。LDAP アドミニストレーターに連絡して、ビジネス要件に対応するためにさらに適切なクエリがあるかどうかを検証してください。