默认配置会将 Identity Vault Logon Disabled 特性映射到 Active Directory 中 userAccountControl 特性的 dirxml-uACAccountDisable 位。 订购者添加操作可能会将 Logon Disabled 设置为假(已启用帐户),但是添加操作的发布者回送将报告 Logon Disabled 为真(已禁用帐户)。
此外,在 Active Directory 中检查对象时可能会显示禁用了帐户。 发生这种情况的一部分原因与驱动程序在 Active Directory 中创建对象的方式有关,另一部分原因与驱动程序和 Active Directory 本身之间的策略不匹配有关。
供应周期完成后,如果 Active Directory 中的帐户保持为禁用状态,则可能是为驱动程序配置的策略与 Active Directory 实施的策略不匹配。
以必需口令策略为例。 如果用户添加操作包含无效口令(或根本没有口令),则应该禁用在 Active Directory 中创建的帐户。 但是 Active Directory 可能在驱动程序不知情的情况下,设置 userAccountControl 中的 dirxml-uACPasswordNotRequired 位。
有意思的是,如果添加操作不包含 dirxml-uACPasswordNotRequired 的策略,则这种情况会导致添加操作的登录启用操作失败。 因此,帐户将保持为禁用状态。
以后(也可能是立即 - 由于合并操作),驱动程序可能会通过将 Logon Disabled 设置为假,尝试再次启用帐户。 如果要覆盖 Active Directory 策略,并且确保帐户始终需要一个口令,则只要 Logon Disabled 在《订购者》通道上发生更改,就应该将 dirxml-uACPasswordNotRequired 设置为假。