Імена користувачів Active Directory: чому канонічне ім'я змінюється? Чи можу я щось зробити, щоб зробити їх однорідними?

Я адміністратор саморобної роботи в службі Active Directory, що використовується для входу в Windows на ~ 30 ПК. Я успадкував цю систему від когось іншого, який також не мав прямого навчання Майкрософт, і, як результат, я перебуваю в темряві щодо кількох речей.

Сама мережа має єдину машину Windows Server 2008 R2, яка виконує функції контролера домену, DNS, спільного доступу до файлів і т.д. .

Ось кілька прикладних облікових записів користувачів:

1. Ім'я входу: Джон
   Ім'я: Прізвище Джон
   : Сміт
   Відображає ім’я: Джон Сміт
   Канонічна назва об’єкта: domain.com/Users/john

2. Ім'я входу: bob
   Ім'я: Прізвище Боб
   : Французьке
   Ім'я: Боб Французька
   Канонічна назва об'єкта: domain.com/Users/Bob Французька

Поточний контролер домену був замінений на інший, який використовувався для запуску Windows Server 2003. Перший зразок облікового запису був створений тоді, коли у полі Server 2003 був DC, другий був створений, коли в новому вікні Server 2008 R2 був DC. Чому канонічне ім’я відрізняється, і чи має це значення?

Мене найбільше дратує той факт, що в моєму списку користувачів у активному браузері каталогів половина облікових записів як "ім'я" та половина як "прізвище прізвище".

Чи можу я щось зробити, щоб усі вони були однаковими, не порушуючи робочих рахунків?

Active Directory насправді не стосується того, як RDN об’єкта облікового запису користувача (остання частина канонічного імені) стосується інших властивостей, таких як Ім'я відображення або Ім'я входу - до тих пір, поки значення кожного окремого атрибута не порушує Визначення схеми.

Поведінка форми "Новий користувач" у користувачах та комп'ютерах Active Directory (а також у ряді інших діалогів) суттєво змінилася між Windows Server 2003 та Windows Server 2008 R2 - і тому, ймовірно, вони не несумісні

Ви можете використовувати PowerShell для переміщення несистемних облікових записів, а потім перейти через користувачів та перейменувати їх у будь-яке їх відображуване ім'я:

# Create new OU named RegularUsers
New-ADOrganizationalUnit -Name RegularUsers -Path "dc=domain,dc=com"

# Retrieve all users that are not critical system objects
$users = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter {-not(isCriticalSystemObject -like '*')}

# Go through each and move to the new OU
foreach($user in $users){
    Move-ADObject $user -TargetPath "OU=RegularUsers,DC=domain,DC=com"
}

# Retrieve all users in the new OU
$movedUsers = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter '*'

foreach($user in $movedUsers){
    # Test if Display Name and object Name is the same, if not - rename
    if($user.DisplayName -ne $user.Name)
    { 
        Rename-ADObject $user -NewName "$($user.DisplayName)" 
    }
}

Для першого кроку ви також можете просто виділити всі облікові записи користувачів у ADUC та перетягнути їх на інше місце.

CN / DN об'єкта не все є таким релевантним, оскільки він використовується лише внутрішньо AD та в LDAP-запитах; кінцеві користувачі (і адміністратори) дуже рідко стикаються навіть з цим. Він фактично змінюється самостійно при переміщенні об’єктів, оскільки включає повний шлях LDAP до об'єкта.

Якщо ви хочете її стандартизувати, це можна зробити без будь-яких побічних ефектів; тільки користувачі річ насправді пов'язано з їх ім'ям входу в систему, і до тих пір , поки ви не змінити , що вони будуть продовжувати реєструватися як зазвичай.

Щоб змінити його, ви можете використовувати консоль ADUC або команду PowerShell Rename-ADObject .

Команда dsmove повинна мати можливість змінити канонічну назву для вас. Я робив це в тестових умовах, але ніколи в живих умовах, тому я б радив діяти обережно.

Також, напівзалежно, я б радив застосувати інший контролер домену, щоб уникнути головного болю, якщо ваш єдиний постійний струм знизиться.