No AD, o CN (inicial derivado do Nome de Exibição quando uma conta é criada) deve ser exclusivo dentro da mesma UO. O motivo é que o valor de DistinguishedName deve ser exclusivo e o DistinguishedName é composto do domínio \ ou (s) \ CN, portanto, se o domínio for o mesmo e o ou for o mesmo, o CN deverá ser diferente. Quando você cria um usuário no AD, o nome e sobrenome são combinados para formar os atributos CN e displayName (Last, First), mas eles podem ser alterados após a criação, como no exemplo abaixo.
Exemplo de solução alternativa:
Se você tiver dois usuários com o mesmo nome que precisam entrar na mesma UO, você faria o seguinte.
- Crie o primeiro usuário Joe Smith (DN será yourdomain.com \ Accounting \ "Smith, Joe")
- Renomeie "Smith, Joe" para algo como "Smith, Joe L" (DN será yourdomain.com \ Contabilidade \ "Smith, Joe L."
- Crie o segundo usuário Joe Smith (DN será yourdomain.com \ Accounting \ "Smith, Joe")
- Neste ponto, você pode deixar o segundo joe smith ficar "Smith, Joe" ou você pode mudá-lo como no passo 2.
Este é o comportamento fundamental do LDAP - não apenas o AD. O DN é o identificador único - semelhante a um URL.
Se não funcionasse dessa maneira, quando procurado (dn = mydomain.com \ Usuários \ Contabilidade \ Smith, Joe) você receberia de volta dois objetos de usuário, presumindo que você tinha de contar com os usuários de Joe Smith na contabilidade. / p>
Para evitar esse problema, algumas organizações usam algumas vezes um ID de funcionário como o CN, que é sempre exclusivo. Isso não afeta o nome do usuário, que é derivado dos atributos sn e givenName.