<div dir="ltr">Hello, <div><br></div><div>We are syncing all of our users from an Active Directory instance. When a user is disabled two things happen:</div><div><br></div><div>1. The Dn of the user changes from cn=username,ou=people to cn=username,ou=disabled_accounts </div><div><br></div><div>2. The userAccountControl changes from 512 to 514 indicating the user is disabled</div><div><br></div><div>I use an import user accounts task daily to ensure any people who left the company are disabled, however I just noticed that for some users when they get disabled in active directory, midPoint won't disabled them even though they both have the userAccountControl entry set to 514 making me think that midPoint uses a different attribute to test the Account Status on the AD resource. </div><div><br></div><div>Here's my activation setting:</div><div><br></div><div><div>         <activation></div><div>            <administrativeStatus></div><div>               <inbound/></div><div>            </administrativeStatus></div><div>         </activation></div></div><div><br></div><div>Any help would be greatly appreciated. </div><div><br></div><div>Thanks, </div><div>-F </div>







</div>