Solución a la desaparición del atributo Enabled en Active Directory tras las actualizaciones de marzo 2024

Tras aplicar los parches de seguridad de marzo 2024 (KB5035855 y KB5035857) numerosos administradores han informado de que el atributo “Enabled”, utilizado por herramientas de sincronización y scripts LDAP para conocer el estado de las cuentas, ha dejado de aparecer en los controladores de dominio Windows Server 2016/2019, impidiendo la correcta reactivación y sincronización con Microsoft Entra ID.

Índice

Antecedentes del problema

El 12 de marzo de 2024 Microsoft publicó su ciclo mensual de actualizaciones acumulativas. Poco después surgieron hilos en comunidades técnicas señalando que, tras reiniciar los controladores de dominio y completar la instalación, ya no era posible recuperar el atributo Enabled/Disabled a través de consultas LDAP, scripts PowerShell o conectores de Entra ID Connect. El síntoma se manifiesta así:

  • Las cuentas “reactivadas” en Active Directory (AD) permanecen como bloqueadas o “fuera de ámbito” para Entra ID.
  • Scripts automatizados que filtran usuarios basados en Enabled ‑eq $true arrojan resultados vacíos.
  • Las consolas gráficas de terceros que muestran columnas Status indican “Unknown”.
  • Eventos 611 y 653 en el agente de AD Connect alertan de un missing attribute mapping.

Cómo determina realmente Active Directory el estado de la cuenta

Conviene recordar que Active Directory no posee un atributo literal llamado “Enabled”. El estado se expresa mediante una máscara de bits en userAccountControl (UAC). El bit 2 (0x0002) recibe el nombre ACCOUNTDISABLE; cuando está establecido, la cuenta está deshabilitada. Ciertas herramientas —incluido el conector de Entra ID Connect en versiones antiguas— exponen un alias sintético llamado Enabled (true/false) calculado internamente a partir de la negación de ese bit.

AspectoDetalle práctico
Atributo realEl estado se guarda en userAccountControl; el alias Enabled solo existe en herramientas de abstracción.
Por qué pudo fallar1) Cambios en las bibliotecas LDAP tras los parches de marzo que dejan de exponer alias no estándar.
2) Conectores de Entra ID Connect desactualizados que siguen buscando “Enabled”.
Pasos de mitigaciónActualizar Entra ID Connect a la versión más reciente y revisar reglas de mapeo.
Sustituir consultas que usen “Enabled” por lógica basada en userAccountControl.
Consulta LDAP de ejemplo(&(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Pruebas adicionalesRevertir KB5035855/KB5035857 en un laboratorio para confirmar la correlación temporal.
Recursos útilesDocumentación oficial de userAccountControl; guía “Troubleshoot user status mapping in Microsoft Entra ID Connect”; foro Microsoft Q&A (etiqueta Entra ID).

Causas técnicas más probables

  1. Deprecación de alias LDAP no estandarizados.
    Microsoft refactorizó componentes de LDAP RPC para apegarse al esquema oficial, eliminando atributos virtuales que no estaban documentados. Entre ellos figura Enabled.
  2. Versión antigua de Entra ID Connect.
    Las compilaciones anteriores a 2.2.x contienen reglas de mapeo predefinidas que buscan expresamente el alias “Enabled”. Al no encontrarlo, las reglas se marcan con estado error.
  3. Scripts heredados en PowerShell/ADSISearcher.
    La mayoría usa expresiones como Get‑ADUser ‑LDAPFilter "(enabled=TRUE)". Tras el parche, la expresión devuelve cero objetos.
  4. Herramientas de terceros integradas vía ADSI.
    Aplicaciones de inventario o IAM que confían en el atributo virtual reportan “desconocido” o provocan excepciones.

Metodología de diagnóstico

  1. Confirme las versiones instaladas con wmic qfe list brief o Get‑HotFix, buscando específicamente KB5035855 (Server 2019) o KB5035857 (Server 2016).
  2. Ejecución de repadmin /showattr sobre un usuario conocido para verificar que userAccountControl cambia pese a la ausencia de “Enabled”.
  3. Audite los eventos 611/653 (Conector AD Import/Export) en Applications and Services Logs > Directory‑Synchronization.
  4. Habilite el registro avanzado en AD Connect y capture una sincronización delta; localice advertencias de atributo faltante.
  5. En PowerShell, ejecute:
    Get‑ADUser alice ‑Properties userAccountControl | Select Name,@{N='UAC';E={[int]$_.userAccountControl}} Verifique el valor numérico y calcule la máscara.

Acciones de mitigación inmediata

  • Actualice Microsoft Entra ID Connect a la última versión disponible (desde abril 2024 se corrigió el mapeo predeterminado para usar UAC).
  • Edite las reglas de sincronización personalizadas: sustituya Enabled por la condición (NOT userAccountControl bit 2).
  • Modifique cualquier script o infraestructura de reporte que use filtros tipo (enabled=TRUE).
  • Fuerce una sincronización completa (Full Sync) tras regenerar las reglas, usando:
    Start‑ADSyncSyncCycle ‑PolicyType Initial
  • Si la organización necesita restaurar el servicio con urgencia y no puede actualizar reglas, planifique la desinstalación temporal de las KB en un entorno de prueba para confirmar la causalidad antes de tocar producción.

Procedimiento recomendado de remediación

  1. Revisión de compatibilidad.
    Consulte con el proveedor de cualquier herramienta de administración de identidades para verificar compatibilidad con las actualizaciones de marzo 2024.
  2. Implementación de Entra Connect 2.2.x o superior.
    Incluye plantillas actualizadas que mapean isAccountEnabled con una expresión de flujo basada en UAC.
  3. Actualice runbooks y scripts.
    Reemplace todas las ocurrencias de enabled por la siguiente lógica PowerShell:
    $uac = (Get‑ADUser $_ ‑Prop userAccountControl).userAccountControl $enabled = -not ($uac -band 2)
  4. Pruebas funcionales.
    Deshabilite y vuelva a habilitar un usuario de laboratorio, vigile la replicación y confirme la aparición en Entra ID con Get‑MgUser -UserId alice@contoso.com | fl AccountEnabled.
  5. Monitoreo posterior.
    Configure alertas en el portal Entra ID y en los controladores de dominio para capturar futuros errores de mapeo.

Pruebas en entorno controlado

Antes de realizar cambios en producción:

  • Clonar un DC a una red aislada (test forest) con copia de la base de datos NTDS.
  • Instalar/desinstalar las KB de marzo 2024 y documentar diferencias en los resultados de ldp.exe o adsiedit.msc.
  • Comparar la replicación de atributos mediante dcdiag /test:replications.

Buenas prácticas y prevención

La desaparición de un alias virtual ilustra por qué es recomendable acatar el esquema oficial de Active Directory:

  • No dependas de atributos no documentados: los alias pueden desaparecer sin previo aviso.
  • Auditoría continua: implementa alertas sobre propiedades de userAccountControl cambiadas.
  • Pipeline CI/CD para scripts de identidad: integra pruebas unitarias que simulan diferentes valores UAC.
  • Revisión trimestral de conectores: mantén Entra ID Connect y sus reglas a la última versión estable.

Preguntas frecuentes

¿Puedo reactivar el alias Enabled?
Ciertas extensiones LDAP lo exponían de forma calculada; después de las actualizaciones no existe conector oficial para restaurarlo. La ruta recomendada es usar UAC.

¿Por qué algunos DC 2022 no se ven afectados?
Windows Server 2022 implementó desde su lanzamiento la política de alias restringidos; por eso, entornos mixtos pueden experimentar el fallo solo en 2016/2019.

¿Es seguro desinstalar las KB?
Sí, pero únicamente para pruebas. Desinstalar parches de seguridad deja al dominio vulnerable; use esta opción solo en laboratorios.

Conclusión

La desaparición del atributo “Enabled” tras las actualizaciones de marzo 2024 no es un fallo de Active Directory, sino la retirada de un alias sintético. El remedio pasa por modernizar reglas de sincronización, scripts y herramientas para utilizar la máscara userAccountControl. Adoptar esta práctica garantiza compatibilidad futura y evita interrupciones en la sincronización con Microsoft Entra ID.

Índice