Estranho. Uma coisa estranha que notei na sua pergunta foi que você disse "Usuários antigos pegaram o campo do país (cn) em CAPITALS ..." Você quis dizer countryCode ou < em> c ou co ? Porque cn não é o código do país.
countryCode é um inteiro ISO 3166 .
c é a cadeia de dois caracteres que corresponde ao código do país mencionado anteriormente. (ISO 3166, coluna A2.)
co é o nome completo e soletrado do país.
Quando você define o país de um usuário por meio do ADUC, os Usuários do AD & Os computadores preenchem automaticamente todos os três atributos para você.
Quando você define um dos três atributos manualmente, também é responsável por definir os outros dois atributos por conta própria.
Então, onde o Active Directory mantém essa lista de países disponíveis? Na verdade, isso não acontece. No que diz respeito ao Active Directory, esses são apenas mais atributos que podem conter qualquer coisa, desde que o tipo de dados se ajuste à restrição do campo. Coloque Mars em co , o Active Directory não se importa.
O sistema operacional Windows é, na verdade, o que fornece esses dados para o console do ADUC. Exportações de kernel32.dll , como GetGeoInfoW , EnumSystemGeoID , GetLocaleInfoW , etc.
Então, tudo isso para dizer que, embora eu não esteja 100% certo do seu problema, parece-me que não é realmente o Active Directory ou qualquer um dos dados armazenados no AD que é o problema, mas sim um problema com a biblioteca do Windows que está alimentando essa lista de países, e está desconectando o console do ADUC.
Então, duas coisas que eu tentaria, é # 1, eu usaria um script para padronizar todos os usuários no domínio e converteria cada co para cada usuário no Título apropriado, em vez de em maiúsculas. Em segundo lugar, eu tentaria acessar o ADUC a partir de uma nova cópia do Windows que não tenha visto 4 gerações de atualizações do sistema operacional.
