schau dir vielleicht mal mit einem ldap-browser das attribut userAccountControl eines Users an... darin steht numerisch codiert, welchen zustand der account hat; ich habe jetzt die Zahlen nicht (und auch kein AD) hier und kann dir die genauen Werte nicht sagen, aber ich glaube, 512 oder 312 deaktiviert den account. Die unterschiedlichen Werte kannst du einfach ermitteln, indem du um Windows-Benutzermanager die Grundeinstellungen veraenderst (es sind die um account aktiviert/deaktiviert), und mit einem LDAP-Browser nachschaust und dir die werte merkst.

Nebenbei: wenn du z.B. ein AD global durchsuchen koennen willst, dann hilft dir der globale Katalog weiter. der laeuft meistens auf einem der haupt-domaincontroller (kann man aber veraendern), und dorthinein werden alle benutzerobjekte reinsynchronisiert, allerdings nur mit einigen attributen (welche dies sind, kann man ueber die Management-Konsole des AD-Schemas einstellen... standardmaessig erreicht man die, wenn man zunaechst die schmmgt.dll (oder so aehnlich, liegt in system32) mit regsvr32.exe (oder regsrv32.exe) schmmgt.dll registriert, und dann gibt es fuer die managementkonsole ein weiteres snapin, das man hinzufuegen kann, mit dem man das schema bearbeiten kann, schemaerweiterungen durchfuehren, oder auch attribute zum globalen katalog hinzufuegen oder entfernen kann. es macht jedoch in groesseren netzwerken oft wenig sinn, alle attribute der objektklasse user zum globalen katalog hinzuzufuegen, weil sich sonst die ADs zu tode synchronisieren...

Normal: ldap://server/cn=myuser,dc=domain,dc=org
Globaler Katalog: GC://server/cn=myuser,dc=domain,dc=org (bei firewalls aufpassen, weil GC einen anderen port als LDAP verwendet, naemlich irgendeinen in der gegend von 3200...)\n\n

<!--EDIT|Strat|1109184906-->