Eu preciso de uma maneira de identificar usuários que não serão alterados se nossas convenções de nomenclatura de e-mail ou nome de usuário mudarem; eles têm no passado. Nós usamos o LDAP, mas nossos escritórios internacionais usam o Active Directory, então eu sou um pouco verde aqui.
Percebi de um dump que todos os usuários têm um valor exclusivo atribuído ao uSNCreated. Isso é globalmente exclusivo para um usuário? Isso mudará se alguma de suas propriedades mudar? Este é meu santo graal de identificadores únicos para a AD?!
Por que não usar o valor que a Microsoft usa - o SID? Isso é armazenado como um binário no atributo objectSid . Outro benefício disso é que, caso seus usuários sejam movidos entre domínios no futuro, o objectSid será armazenado em sIDHistory para que você possa reconciliar as alterações.
@ sysadmin1138's answer is um pouco enganador. O uSNCreated não está relacionado ao tempo; é único somente no DC. É o "highestCommittedUsn + 1" do DC no momento da criação do objeto. Ele provavelmente está misturando-o com whenCreated, que é um número de 64 bits que representa o número de intervalos de 100 nanossegundos desde as 00:00 de 1 de janeiro de 1601 ... e também não necessariamente exclusivo. Ele está correto no entanto que objectGuid, junto com objectSid, são melhor usados para rastrear objetos através de mudanças de atributos. Ambos são sempre definidos em todos os objetos do usuário e nunca serão alterados sem excluir e recriar o objeto ... quando todas as apostas estão desativadas para rastrear o objeto!
Esse campo é, na verdade, um campo de data e hora sorrateiro e não é garantido que seja exclusivo. Um campo melhor para isso é 'objectGUID'. Isso é único.