Aller au contenu principal

Utilisateurs sans AD

L'écran Utilisateurs sans AD liste tous les comptes connus d'une application connectée qui ne peuvent pas être rapprochés d'une entrée LDAP / Active Directory de l'entreprise. Une ligne par couple (Application, Utilisateur).

Le rapprochement s'appuie sur deux attributs AD : la Description (généralement le matricule RH) et le samAccountName (login Windows). Lorsque ni l'un ni l'autre ne pointe vers une entrée AD, la ligne atterrit ici.

Vue d'ensemble

Nomasx-1 · Sécurité · LDAP · Utilisateurs sans ADAPPUTIL.NOMSTATUTMATRICULECRÉATIONCONNEXION12SVC_BATCHCompte de service batchActif2017-04-022026-05-1412EX_JDOEJohn Doe (parti)Actif2007142014-02-102024-09-1212CONS.XConsultant externe XActif2024-01-152026-04-303 PROFILS ATTENDUSComptes techniques / batch (pas d'AD par construction), identités gérées hors entreprise (consultants, AD non synchronisé), comptes de partants dont l'entrée AD a déjà été supprimée.

Objectif de l'écran

Pour chaque compte qui existe dans un système source sans entrée dans l'annuaire :

  • Est-ce un compte technique légitime ? Comptes batch, comptes de service, comptes d'intégration ne sont en général pas provisionnés dans l'AD par construction. Les marquer comme tels dans Paramètres → Propriétés utilisateurs pour qu'ils cessent d'être signalés.
  • Est-ce une identité gérée hors entreprise ? Les consultants dont l'AD est celui du cabinet, et non celui du client, atterrissent ici aussi. Même traitement — les déclarer une fois pour toutes.
  • Est-ce un compte fantôme ? Une vraie personne, pas d'entrée AD, une connexion récente. C'est la ligne à investiguer en priorité — l'entrée AD a probablement été supprimée au moment du départ sans que le compte du système source ne soit désactivé.

L'écran est l'audit le plus net du processus de départ : chaque ligne est un trou potentiel.

Colonnes

ColonneSourceCe qu'on y lit
Application IDUSR_APPS_ID — identifiant numérique de l'application source.Application à laquelle appartient le compte sans correspondance.
Utilisateur IDUSR_ID — identifiant utilisateur.Login technique sans correspondance AD.
NomUSR_NAME — nom d'affichage.Nom lisible.
StatutUSR_STATUS01 signifie Actif.Les comptes actifs remontent en priorité ; un compte inactif sans AD est normal (sortie correctement clôturée).
MatriculeUSR_REGISTRATION — matricule RH stocké dans le système source.Champ utilisé par la jointure LDAP face à l'attribut Description côté AD. Des valeurs vides ou erronées sont la principale cause de faux positifs.
Date de créationUSR_DT_CREATION — date.Date de création du compte — compte ancien et connexion récente = candidat fantôme.
Date de connexionUSR_DT_LOGIN — date.Dernière authentification. Définit l'urgence.

Conseils & bonnes pratiques

  • Trier la Date de connexion en ordre décroissant pour faire remonter les fantômes — une connexion récente sans entrée AD est la ligne la plus urgente.
  • Un matricule vide est la première vérification — si le matricule RH manque sur le compte source, la jointure LDAP ne peut jamais aboutir, même si la personne existe bien dans l'AD. Renseigner le matricule dans le système source puis relancer le scan.
  • Déclarer les comptes techniques connus via l'écran Paramètres → Propriétés utilisateurs pour qu'ils cessent d'apparaître ici. La liste des exceptions récurrentes raccourcit, les vrais fantômes ressortent.
  • Recouper avec l'administrateur AD — si une ligne correspond à une personne dont l'entrée AD a été supprimée la veille, c'est la preuve que le processus de départ doit également passer par le système source.