デフォルトの環境設定では、アイデンティティボールトの「ログインの無効化」属性をActive DirectoryでのuserAccountControl属性のdirxml-uACAccountDisableビットにマッピングします。購読者追加操作では、「ログインの無効化」をfalse (アカウントが有効)に設定できますが、追加操作の発行者ループバックでは、「ログインの無効化」がtrue (アカウントが無効)であるとレポートされます。
さらに、Active Directory内のオブジェクトを調べると、アカウントが無効にされていることを示す場合があります。このようになる理由には、ドライバでActive Directoryのオブジェクトを作成する方法や、ドライバとActive Directory自体の間のポリシーなどがあります。
プロビジョニングサイクルが完了した後にActive Directoryでアカウントが無効にされたままの場合は、Active Directoryにより実行されるドライバやポリシー向けに設定されたポリシー間に不一致が生じることがあります。
たとえば、パスワード要求ポリシーを考えてみます。ユーザ追加操作に無効なパスワードが含まれている(またはパスワードがない)場合は、Active Directoryで作成されたアカウントを無効にする必要があります。しかし、Active Directoryでは、ドライバの知識がなくてもuserAccountControlのdirxml-uACPasswordNotRequiredビットを設定できます。
このような操作を行うと、追加操作にdirxml-uACPasswordNotRequiredのポリシーが含まれていない場合は、追加操作のログオン有効化アクションが失敗します。したがって、アカウントは無効のままになります。
後ほど(マージ操作のためほぼ直後)、ドライバで「ログインの無効化」をfalseに設定して、もう一度アカウントを有効にすることができます。Active Directoryポリシーを上書きしてアカウントのパスワードが常に要求されるようにする場合は、購読者チャネルで「ログインの無効化」が変更されるたびにdirxml-uACPasswordNotRequiredをfalseに設定する必要があります。