Hi Guys,<br><br>  I'm looking for a way to exclude certain account names for use on any resource; this could include:<br><span>    </span>- operating system accounts<br><span>    </span>- service accounts<br><span>    </span>- sensitive accounts<br><span>    </span>- account names generated that may be offensive words etc<br><br>  I have noted the protected account feature, however this seems to require definition on every resource<br>  which can be tedious and prone to error on large numbers of resources. Also, as this maps to the<br>  designated repository name attribute, it is not very flexible; e.g. if you take AD built-in group Users.<br>  While this is a group, it still has a sAMAccountName of Users. Setting a protection of "Users" does not<br>  exclude an attempt to provision an account with sAMAccountName of users.<br><br>  What happens in the above example, midPoint attempts to add the account to AD, this fails with "Already<br>  exists". This does not seem to trigger the need for iteration. This is attempted a 1000 times until some<br>  limit in midPoint then aborts the transaction. Needless to say, performance deteriorates rapidly during<br>  this cycle ... I would like to understand where this limit of a 1000 is set and ideally reduce this significantly.<br><br>  Another side-effect of the AD problem described above; we also have the AD "Recycle Bin" feature<br>  enabled. Every failed attempt at provisioning the "users" account, also leaves a deleted object entry;<br>  e.g. with a 1000 attempted adds, this results in a 1000 deleted object entries.<br><br>  I'm hoping there is a way of setting a global exclusion list or policy that would reject certain values<br>  by attribute name; e.g. filter, but not based on an individual resource.<br><br>Regards,<br>  Anton<br><br><br>