为 Endpoint Central 优化 Active Directory 同步

将 Endpoint Central 与 Active Directory (AD) 集成可为端点管理带来显著优势。本指南概述了最佳实践和关键配置，以确保无缝同步并最大限度地发挥您环境的潜力。

服务帐户权限

为获得最佳功能，Endpoint Central 服务帐户需要在 Active Directory 中具备特定权限：

查看权限：授予对所有 AD 对象的读取权限，包括计算机、用户、容器、组和组织单位 (OU)。确保可以查看关键属性，如 `whenChanged`、`whenCreated`、`objectGUID`、`Name`、`distinguishedName` 等。
已删除对象检索：提供可访问 AD 回收站的凭据，以便检索已删除对象。有关详细的权限要求，请参阅 Microsoft 指南。

设置好凭据后，我们可以使用基本 LDP 工具分析来确认是否能够检索到所有对象和 OU。

当计算机从 AD 中删除时，Endpoint Central 可以自动将其从清单中移除。以下是确保此过程有效运行的方法：

SoM 策略：在管理控制台中，导航到 Agent > Active Directory Sync，确认是否已启用“Delete Inactive Computers”，并选择“Delete the computers from SoM and notify me”选项。您还可以为这些事件配置电子邮件通知。
AD 回收站：请确保您的 AD 回收站已启用。有关启用说明，请参阅此处。
同步状态和凭据：导航到 Agent -> Domains，并确保上次同步时间戳晚于计算机在 AD 中的删除时间。此外，还要确保使用已配置的凭据可以访问 AD 回收站。
网络配置：在具有多个域控制器的环境中，请验证它们之间的同步是否正常工作。在 Domain 页面中使用域控制器的主机名（而非 FQDN 或 IP 地址）。
域控制器配置：确认已删除的计算机在相关域控制器下已不再存在。

要检查该凭据是否有权从 AD 回收站获取已删除对象，请参阅此处。

通过遵循这些最佳实践，您可以使用 Endpoint Central 建立可靠且高效的 Active Directory 同步，从而改善您的端点管理体验。

请注意，本指南提供的是一般性建议。如需具体说明，请在此联系我们的专业支持团队。