Tên người dùng Active Directory: tại sao tên chính tắc khác nhau? Tôi có thể làm một cái gì đó để làm cho chúng thống nhất?

Tôi là quản trị viên tự học của mạng Active Directory hoạt động được sử dụng để đăng nhập Windows trên ~ 30 PC. Tôi đã thừa hưởng hệ thống từ một người khác cũng không được đào tạo trực tiếp về Microsoft và kết quả là tôi chìm trong bóng tối về một vài điều.

Bản thân mạng có một máy Windows Server 2008 R2 hoạt động như bộ điều khiển miền, DNS, chia sẻ tệp, v.v. Đăng nhập hoạt động tốt, nhưng tôi đã tìm hiểu danh sách người dùng trong khi vô hiệu hóa các tài khoản cũ và tôi nhận thấy một điều tôi không hiểu lắm .

Dưới đây là một vài tài khoản người dùng mẫu:

1. Tên đăng nhập: john
   Tên: John
   Tên cuối: Smith
   Tên hiển thị: John Smith
   Tên chính thức của đối tượng: domain.com/Users/john

2. Tên đăng nhập: bob
   Tên: Bob
   Tên cuối: Tiếng Pháp
   Tên hiển thị: Bob Pháp
   Tên chính thức của đối tượng: domain.com/Users/Bob French

Bộ điều khiển miền hiện tại đã được hoán đổi từ một bộ điều khiển khác được sử dụng để chạy Windows Server 2003. Tài khoản mẫu đầu tiên được tạo khi hộp Server 2003 là DC, thứ hai được tạo khi hộp Server 2008 R2 mới hơn là DC. Tại sao Tên Canonical lại khác biệt và nó có tạo ra sự khác biệt nào không?

Tôi rất bực mình vì danh sách người dùng của tôi trong trình duyệt thư mục hoạt động có một nửa tài khoản là 'tên đầu tiên' và một nửa là 'tên họ'.

Tôi có thể làm gì đó để làm cho tất cả chúng giống nhau mà không phá vỡ tài khoản làm việc không?

Active Directory không thực sự quan tâm đến việc RDN của đối tượng tài khoản người dùng (phần cuối của Tên Canonical) liên quan đến các thuộc tính khác như Tên hiển thị hoặc Tên đăng nhập - miễn là giá trị của từng thuộc tính riêng lẻ không vi phạm định nghĩa lược đồ.

Hành vi của biểu mẫu "Người dùng mới" trong Người dùng và Máy tính Active Directory (cũng như một số hộp thoại khác) đã thay đổi đáng kể giữa Windows Server 2003 và Windows Server 2008 R2 - và đó có thể là lý do tại sao chúng không nhất quán

Bạn có thể sử dụng PowerShell để di chuyển các tài khoản phi hệ thống, sau đó đi qua người dùng và đổi tên chúng thành bất kỳ Tên hiển thị nào của họ:

# Create new OU named RegularUsers
New-ADOrganizationalUnit -Name RegularUsers -Path "dc=domain,dc=com"

# Retrieve all users that are not critical system objects
$users = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter {-not(isCriticalSystemObject -like '*')}

# Go through each and move to the new OU
foreach($user in $users){
    Move-ADObject $user -TargetPath "OU=RegularUsers,DC=domain,DC=com"
}

# Retrieve all users in the new OU
$movedUsers = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter '*'

foreach($user in $movedUsers){
    # Test if Display Name and object Name is the same, if not - rename
    if($user.DisplayName -ne $user.Name)
    { 
        Rename-ADObject $user -NewName "$($user.DisplayName)" 
    }
}

Đối với bước đầu tiên, bạn cũng có thể chỉ cần tô sáng tất cả các tài khoản người dùng trong ADUC và kéo-n-thả chúng vào một vị trí khác.

CN / DN của một đối tượng không phải là tất cả những gì có liên quan, vì nó chỉ được sử dụng nội bộ bởi AD và trong các truy vấn LDAP; người dùng cuối (và quản trị viên) rất hiếm khi nhận được nó. Nó thực sự tự thay đổi khi bạn di chuyển các đối tượng xung quanh, bởi vì nó bao gồm đường dẫn LDAP đầy đủ của đối tượng.

Nếu bạn muốn chuẩn hóa nó, điều này có thể được thực hiện mà không có bất kỳ tác dụng phụ nào; điều duy nhất người dùng thực sự quan tâm là tên đăng nhập của họ và miễn là bạn không thay đổi điều đó , họ sẽ tiếp tục đăng nhập như bình thường.

Để thay đổi nó, bạn có thể sử dụng bảng điều khiển ADUC hoặc lệnh PowerShell Đổi tên-ADObject .

Lệnh dsmove sẽ có thể thay đổi tên chính tắc cho bạn. Tôi đã thực hiện điều này trong môi trường thử nghiệm nhưng không bao giờ trong môi trường sống vì vậy tôi sẽ khuyên bạn nên tiến hành thận trọng.

Ngoài ra, liên quan đến bán, tôi sẽ khuyên bạn nên thực hiện một bộ điều khiển miền khác để tránh đau đầu nếu DC duy nhất của bạn bị hỏng.