Nazwy użytkowników Active Directory: dlaczego nazwa kanoniczna jest różna? Czy mogę zrobić coś, aby były jednolite?

Jestem samoukiem, administratorem działającej sieci Active Directory używanej do logowania Windows na ~ 30 komputerach. System odziedziczyłem po kimś innym, kto również nie przeszedł żadnego bezpośredniego szkolenia Microsoft, w związku z czym nie rozumiem kilku rzeczy.

Sama sieć ma jeden komputer z systemem Windows Server 2008 R2, który działa jako kontroler domeny, DNS, udziały plików itp. Loginy działają dobrze, ale przeglądałem listę użytkowników podczas wyłączania starych kont i zauważyłem coś, czego nie do końca rozumiem .

Oto kilka przykładowych kont użytkowników:

1. Nazwa logowania: John
   Imię: John
   Nazwisko: Smith
   Nazwa wyświetlana: John Smith
   Canonical Nazwa obiektu: domain.com/Users/john

2. Nazwa logowania: Bob
   Imię: Bob
   Nazwisko: francuski
   Wyświetlana nazwa: Bob French
   Kanoniczna nazwa obiektu: domain.com/Users/Bob French

Bieżący kontroler domeny został zamieniony z innego, który był używany do uruchamiania systemu Windows Server 2003. Pierwsze przykładowe konto zostało utworzone, gdy pole Server 2003 było DC, a drugie zostało utworzone, gdy nowsze Server 2008 R2 było DC. Dlaczego nazwa kanoniczna jest inna i czy robi jakąkolwiek różnicę?

Najbardziej denerwuje mnie fakt, że lista moich użytkowników w przeglądarce Active Directory ma połowę kont jako „imię”, a połowę jako „imię”.

Czy mogę zrobić coś, aby wszystkie były takie same bez zrywania działających kont?

Usługa Active Directory tak naprawdę nie zajmuje się tym, w jaki sposób RDN obiektu konta użytkownika (ostatnia część nazwy kanonicznej) odnosi się do innych właściwości, takich jak nazwa wyświetlana lub nazwa logowania - o ile wartość poszczególnych atrybutów nie narusza definicja schematu.

Zachowanie formularza „Nowy użytkownik” w przystawce Użytkownicy i komputery usługi Active Directory (a także w wielu innych oknach dialogowych) znacznie się zmieniło między Windows Server 2003 a Windows Server 2008 R2 - i prawdopodobnie dlatego nie są spójne

Za pomocą programu PowerShell można przenosić konta niesystemowe, a następnie przeglądać użytkowników i zmieniać ich nazwy na dowolną wyświetlaną nazwę:

# Create new OU named RegularUsers
New-ADOrganizationalUnit -Name RegularUsers -Path "dc=domain,dc=com"

# Retrieve all users that are not critical system objects
$users = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter {-not(isCriticalSystemObject -like '*')}

# Go through each and move to the new OU
foreach($user in $users){
    Move-ADObject $user -TargetPath "OU=RegularUsers,DC=domain,DC=com"
}

# Retrieve all users in the new OU
$movedUsers = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter '*'

foreach($user in $movedUsers){
    # Test if Display Name and object Name is the same, if not - rename
    if($user.DisplayName -ne $user.Name)
    { 
        Rename-ADObject $user -NewName "$($user.DisplayName)" 
    }
}

W pierwszym kroku możesz także podświetlić wszystkie konta użytkowników w ADUC i przeciągnąć je w inne miejsce.

CN / DN obiektu nie jest aż tak istotny, ponieważ jest używany tylko wewnętrznie przez AD i w zapytaniach LDAP; użytkownicy końcowi (i administratorzy) bardzo rzadko go nawet widzą. W rzeczywistości zmienia się samodzielnie podczas przenoszenia obiektów, ponieważ zawiera pełną ścieżkę LDAP obiektu.

Jeśli chcesz to ustandaryzować, możesz to zrobić bez żadnych skutków ubocznych; jedynymi użytkownikami rzeczą faktycznie dotyczy to ich nazwa logowania, i tak długo, jak nie zmieni , że będą one nadal zalogować się jak zwykle.

Aby to zmienić, możesz użyć konsoli ADUC lub polecenia PowerShell Rename-ADObject .

Polecenie dsmove powinno być w stanie zmienić kanoniczną nazwę użytkownika. Zrobiłem to w środowiskach testowych, ale nigdy w środowiskach na żywo, więc radzę postępować ostrożnie.

Ponadto, częściowo związane, radziłbym wdrożyć inny kontroler domeny, aby uniknąć bólu głowy, jeśli twój jedyny kontroler domeny przestanie działać.