Nomes de usuários do Active Directory: por que o nome canônico varia? Posso fazer algo para torná-los uniformes?

Navegue suas respostas
10

Eu sou um administrador autodidata de uma rede do Active Directory de trabalho usada para logins do Windows em ~ 30 PCs. Eu herdei o sistema de outra pessoa que também não tinha nenhum treinamento direto da Microsoft e, como resultado, estou no escuro em algumas coisas.

A rede em si tem uma única máquina Windows Server 2008 R2 atuando como controlador de domínio, DNS, compartilhamentos de arquivos, etc. Os logins funcionam bem, mas eu estava vasculhando a lista de usuários enquanto desabilitava contas antigas e notei algo que não faço. Não entendo muito bem.

Aqui estão algumas contas de usuário de amostra:

  1. Nome de login: john
    Primeiro nome: John
    Sobrenome: Smith
    Nome de exibição: John Smith
    Nome canônico do objeto: domain.com/Users/john

  2. Nome de login: bob
    Primeiro nome: Bob
    Sobrenome: francês
    Nome de exibição: Bob French
    Nome canônico do objeto: domain.com/Users/Bob French

O controlador de domínio atual foi trocado de outro que usava o Windows Server 2003. A primeira conta de exemplo foi criada quando a caixa Server 2003 era DC, a segunda foi criada quando a nova caixa Server 2008 R2 era DC. Por que o nome canônico é diferente e faz alguma diferença?

Estou mais irritado com o fato de que minha lista de usuários no navegador do diretório ativo tem metade das contas como 'firstname' e metade como 'firstname lastname'.

Posso fazer algo para tornar todos iguais sem quebrar contas de trabalho?

    
por evilspoons 18.02.2014 / 17:29

3 respostas

8

O Active Directory não se preocupa realmente com a forma como o RDN do objeto de conta Usuário (a última parte do Nome Canônico) se relaciona a outras propriedades como o Nome de Exibição ou o Nome de Logon - desde que o valor de cada atributo individual não t violar a definição do esquema.

O comportamento do formulário "Novo Usuário" em Usuários e Computadores do Active Directory (bem como em vários outros diálogos) mudou significativamente entre o Windows Server 2003 eo Windows Server 2008 R2 - e é provavelmente por isso que eles não são consistentes

Você pode usar o PowerShell para mover as contas que não são do sistema e, em seguida, passar pelos usuários e renomeá-los para qualquer nome de exibição: 

# Create new OU named RegularUsers
New-ADOrganizationalUnit -Name RegularUsers -Path "dc=domain,dc=com"

# Retrieve all users that are not critical system objects
$users = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter {-not(isCriticalSystemObject -like '*')}

# Go through each and move to the new OU
foreach($user in $users){
    Move-ADObject $user -TargetPath "OU=RegularUsers,DC=domain,DC=com"
}

# Retrieve all users in the new OU
$movedUsers = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter '*'

foreach($user in $movedUsers){
    # Test if Display Name and object Name is the same, if not - rename
    if($user.DisplayName -ne $user.Name)
    { 
        Rename-ADObject $user -NewName "$($user.DisplayName)" 
    }
}

Na primeira etapa, você também pode destacar todas as contas de usuário no ADUC e arrastá-las e soltá-las em outro local.

    
por 18.02.2014 / 18:12
2

O CN / DN de um objeto não é tão relevante, pois é usado apenas internamente pelo AD e em consultas LDAP; usuários finais (e administradores) raramente conseguem vê-lo. Ele realmente muda sozinho quando você move objetos, porque inclui o caminho completo do objeto.

Se você quiser padronizá-lo, isso pode ser feito sem efeitos colaterais; a única coisa com que os usuários estão realmente preocupados é com o nome de logon e, contanto que você não altere esse , eles continuarão a fazer logon normalmente.

Para alterá-lo, você pode usar o console ADUC ou o comando do PowerShell Renomear-ADObject .

    
por 18.02.2014 / 18:39
1

O comando dsmove deve poder alterar o nome canônico para você. Eu fiz isso em ambientes de teste, mas nunca em ambientes ao vivo, então aconselho prosseguir com cautela.

Além disso, semi-relacionado, eu aconselho a implementação de outro controlador de domínio para evitar uma dor de cabeça se o seu único DC cair.

    
por 18.02.2014 / 18:11

Tags

Switches Cisco Catalyst 2960 - Posso inverter o fluxo de ar? Do vSphere 5.5 - Implantando o Centos 7 do modelo ignora personalizações