Active Directory kullanıcı adları: standart ad neden değişir? Onları üniforma yapmak için bir şey yapabilir miyim?

~ 30 PC'de Windows oturum açma işlemleri için kullanılan bir çalışma Active Directory ağının kendi kendini yetiştirmiş bir yöneticisiyim. Sistemi, doğrudan Microsoft eğitimi almayan birinden miras aldım ve sonuç olarak birkaç şey üzerinde karanlıktayım.

Ağın kendisi, etki alanı denetleyicisi, DNS, dosya paylaşımları, vb. Gibi çalışan tek bir Windows Server 2008 R2 makinesine sahiptir. Girişler iyi çalışır, ancak eski hesapları devre dışı bırakırken kullanıcı listesi etrafında dolaşıyordum ve tam olarak anlamadığım bir şey fark ettim .

Aşağıda birkaç örnek kullanıcı hesabı verilmiştir:

1. Oturum Açma Adı: john
   Adı: John
   Soyadı: Smith
   Görünen Ad: John Smith
   Kurallı Nesnenin Adı: domain.com/Users/john

2. Oturum Açma Adı: bob
   Adı: Bob
   Soyadı: Fransızca
   Görünen Ad: Bob Fransızca
   Kanonik Nesnenin Adı: domain.com/Users/Bob Fransızca

Geçerli etki alanı denetleyicisi, Windows Server 2003'ü çalıştırmak için kullanılan başka bir hesaptan değiştirildi. İlk örnek hesap, Server 2003 kutusu DC iken, ikincisi daha yeni Server 2008 R2 kutusu DC olduğunda oluşturuldu. Kanonik Ad neden farklıdır ve herhangi bir fark yaratır mı?

Çoğunlukla aktif dizin tarayıcısındaki kullanıcı listemin yarısının 'firstname', yarısının da 'firstname lastname' olması beni rahatsız ediyor.

Çalışan hesapları bozmadan hepsini aynı şekilde yapmak için bir şeyler yapabilir miyim?

Active Directory, her bir özelliğin değeri, her bir özelliğin değeri şema tanımı.

Active Directory Kullanıcıları ve Bilgisayarlarındaki "Yeni Kullanıcı" formunun (ve bir dizi başka iletişim kutusunun) davranışı Windows Server 2003 ile Windows Server 2008 R2 arasında önemli ölçüde değişti - ve bu nedenle muhtemelen tutarlı değiller

Sistem dışı hesapları taşımak için PowerShell'i kullanabilir ve ardından kullanıcılar arasında dolaşıp Görünen Adları ne olursa olsun onları yeniden adlandırabilirsiniz:

# Create new OU named RegularUsers
New-ADOrganizationalUnit -Name RegularUsers -Path "dc=domain,dc=com"

# Retrieve all users that are not critical system objects
$users = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter {-not(isCriticalSystemObject -like '*')}

# Go through each and move to the new OU
foreach($user in $users){
    Move-ADObject $user -TargetPath "OU=RegularUsers,DC=domain,DC=com"
}

# Retrieve all users in the new OU
$movedUsers = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter '*'

foreach($user in $movedUsers){
    # Test if Display Name and object Name is the same, if not - rename
    if($user.DisplayName -ne $user.Name)
    { 
        Rename-ADObject $user -NewName "$($user.DisplayName)" 
    }
}

İlk adım için, ADUC'deki tüm kullanıcı hesaplarını da vurgulayabilir ve başka bir konuma sürükleyip bırakabilirsiniz.

Bir nesnenin CN / DN'si, yalnızca AD tarafından ve LDAP sorgularında dahili olarak kullanıldığı için ilgili değildir; son kullanıcılar (ve yöneticiler) çok nadiren görüyorlar. Nesneleri hareket ettirdiğinizde aslında tek başına değişir, çünkü nesnenin tam LDAP yolunu içerir.

Standartlaştırmak istiyorsanız, bu herhangi bir yan etki olmadan yapılabilir; Tek şey kullanıcıları gerçekte ilgileniyoruz kendi oturum açma adıdır ve sürece değişmez olarak bu , her zamanki gibi oturum devam edecektir.

Değiştirmek için, ADUC konsolunu veya RenSame-ADObject PowerShell komutunu kullanabilirsiniz .

Dsmove komutu sizin için kurallı adını değiştirmek gerekir. Bunu test ortamlarında yaptım ama asla canlı ortamlarda yapmadım, bu yüzden dikkatli ilerlemenizi tavsiye ederim.

Ayrıca, yarı ilgili, tek DC aşağı gitmek durumunda bir baş ağrısı önlemek için başka bir etki alanı denetleyicisi uygulamak tavsiye ediyorum.