Nomi utente di Active Directory: perché varia il nome canonico? Posso fare qualcosa per renderli uniformi?

Sono un amministratore autodidatta di una rete di Active Directory di lavoro utilizzata per gli accessi di Windows su ~ 30 PC. Ho ereditato il sistema da qualcun altro che non aveva alcuna formazione diretta da parte di Microsoft e, di conseguenza, sono al buio su un paio di cose.

La rete stessa ha una singola macchina Windows Server 2008 R2 che funge da controller di dominio, DNS, condivisioni di file, ecc. Gli accessi funzionano bene, ma stavo frugando nell'elenco degli utenti disabilitando i vecchi account e ho notato qualcosa che non capisco bene .

Ecco un paio di account utente di esempio:

1. Nome di accesso: john
   Nome: John
   Cognome: Smith
   Nome visualizzato: John Smith
   Nome canonico dell'oggetto: domain.com/Users/john

2. Nome di accesso: bob
   Nome: Bob
   Cognome: francese
   Nome visualizzato: Bob francese
   Nome canonico dell'oggetto: domain.com/Users/Bob French

Il controller di dominio corrente è stato sostituito da un altro che eseguiva Windows Server 2003. Il primo account di esempio è stato creato quando la casella Server 2003 era DC, la seconda è stata creata quando la nuova casella Server 2008 R2 era DC. Perché il nome canonico è diverso e fa differenza?

Sono principalmente infastidito dal fatto che il mio elenco di utenti nel browser di Active Directory abbia metà degli account come "nome" e metà come "nome cognome".

Posso fare qualcosa per renderli tutti uguali senza rompere i conti di lavoro?

Active Directory non si preoccupa davvero del modo in cui l'RDN dell'oggetto account utente (l'ultima parte del nome canonico) si collega ad altre proprietà come il nome visualizzato o il nome di accesso, purché il valore di ogni singolo attributo non violi il definizione dello schema.

Il comportamento del modulo "Nuovo utente" in Utenti e computer di Active Directory (così come una serie di altri dialoghi) è cambiato in modo significativo tra Windows Server 2003 e Windows Server 2008 R2 - ed è probabilmente per questo che non sono coerenti

È possibile utilizzare PowerShell per spostare gli account non di sistema, quindi passare attraverso gli utenti e rinominarli in qualunque sia il loro nome visualizzato:

# Create new OU named RegularUsers
New-ADOrganizationalUnit -Name RegularUsers -Path "dc=domain,dc=com"

# Retrieve all users that are not critical system objects
$users = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter {-not(isCriticalSystemObject -like '*')}

# Go through each and move to the new OU
foreach($user in $users){
    Move-ADObject $user -TargetPath "OU=RegularUsers,DC=domain,DC=com"
}

# Retrieve all users in the new OU
$movedUsers = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter '*'

foreach($user in $movedUsers){
    # Test if Display Name and object Name is the same, if not - rename
    if($user.DisplayName -ne $user.Name)
    { 
        Rename-ADObject $user -NewName "$($user.DisplayName)" 
    }
}

Per il primo passo, puoi anche evidenziare tutti gli account utente in ADUC e trascinarli in un'altra posizione.

Il CN / DN di un oggetto non è poi così rilevante, poiché viene utilizzato solo internamente da AD e nelle query LDAP; gli utenti finali (e gli amministratori) raramente riescono persino a vederlo. In realtà cambia da solo quando sposti gli oggetti, perché include il percorso LDAP completo dell'oggetto.

Se vuoi standardizzarlo, questo può essere fatto senza effetti collaterali; l'unica cosa che gli utenti in realtà sono interessati con il loro nome di accesso, e finché non si modifica che , continueranno ad accedere come al solito.

Per modificarlo, è possibile utilizzare la console ADUC o il comando PowerShell Rename-ADObject .

Il comando dsmove dovrebbe essere in grado di cambiare il nome canonico per te. L'ho fatto in ambienti di test ma mai in ambienti live, quindi consiglierei di procedere con cautela.

Inoltre, semi-correlato, consiglierei di implementare un altro controller di dominio per evitare mal di testa nel caso in cui il tuo unico controller di dominio si interrompa.