你好帕特里克

嗯，我们还为IDM附加了一个AD，但是即使连接器通过将所有字段都推送到AD，由于大多数字段都没有更改，为什么还要在AD中将其注册为"修改"？
我们有一个监视应用程序，该程序监视IDM AD帐户中的AD内容（这意味着它监视特定广告帐户在Active Directory中的更改并发送电子邮件以通知有关它们），而我仅收到"字段已修改 "字段，但实际上已更改。 我以为这是正常现象？

Matt Pollicove ：您对不同的安装有更多的经验。 LDAP连接器是否真的修改连接器中的每个字段，无论值是否不同？

。

此致

Steffi。

这是一个非常有趣的问题。 我认为这里的关键是所使用的监视工具。 我想真正检查的唯一方法是禁用所有（但不包括相关属性），同时确保有键/查找属性（dn或objectGUID）

基本答案是肯定的，尽管IDM会编写所有属性。 您可以通过使用对其进行一些限制。 前缀，表示仅在这是一个新条目时才写入属性。

当更新Active Directory属性时，条目的uSNChanged属性也会更新，这是我们可以跟踪更改的方式（在作业/任务结束时，将uSNChanged更新为变量，然后使其成为下一个过滤器的一部分 如PF中所示运行）

我不知道有哪个工具正在监视每个AD属性的更改/更新，因此，确切的答案取决于真正了解AD的最深入工作的人或相关的监视工具。

我真正看到的防止这种情况的唯一方法是将更新任务分配给将仅在AD中更新该属性的每个属性。 可能也可以使用Delta功能。 但是，我不确定我是否会走到极端或建议任何人。 但是，当然，如果这些是要求...

无论如何，我想听听这件事会发生什么。

马特

感谢斯特菲。 此特定的AD监视工具以前以相同的方式工作（仅记录属性值的实际更改）。 自升级以来，它的行为方式各不相同，并且在每次实际的LDAP操作中都可以使用。 当执行ModifyADSUser通过中定义的LDAP操作时，它将发送具有所有属性（如通过的目标选项卡中所定义）的整个AD用户对象，而不管该属性是否已更改。 打开调度程序进行调试时，我可以看到此信息（请参阅com.sap.idm.ic.ToDSADirect）。

我相信，这（标准的IdM行为）是进行LDAP调用（发送所有属性，而不仅仅是发送更改）的一种常用方法，但是我们只是想探索所有解决方案。 >

感谢您的时间！