Eu sou um administrador autodidata de uma rede do Active Directory de trabalho usada para logins do Windows em ~ 30 PCs. Eu herdei o sistema de outra pessoa que também não teve nenhum treinamento direto da Microsoft e, como resultado, estou no escuro em algumas coisas.
A própria rede possui uma única máquina com Windows Server 2008 R2 atuando como controlador de domínio, DNS, compartilhamento de arquivos etc. Os logins funcionam bem, mas eu estava vasculhando a lista de usuários enquanto desabilitava contas antigas e notei algo que não entendi direito. .
Aqui estão algumas contas de usuário de exemplo:
Nome de logon: john
Nome: John
Sobrenome: Smith
Nome para exibição: John Smith
Nome canônico do objeto: domain.com/Users/johnNome de logon: bob
Nome: Bob
Sobrenome: Francês
Nome para exibição: Bob French
Nome canônico do objeto: domain.com/Users/Bob French
O controlador de domínio atual foi trocado por outro que costumava executar o Windows Server 2003. A primeira conta de exemplo foi criada quando a caixa do Server 2003 era DC, a segunda foi criada quando a caixa mais recente do Server 2008 R2 era o DC. Por que o nome canônico é diferente e faz alguma diferença?
Estou muito chateado pelo fato de minha lista de usuários no navegador do Active Directory ter metade das contas como 'primeiro nome' e metade como 'primeiro nome sobrenome'.
Posso fazer algo para tornar todos iguais sem quebrar as contas de trabalho?
domain.com/Users
UO? Ou é apenas um exemplo?Respostas:
O Active Directory realmente não se preocupa com o modo como o RDN do objeto de conta de usuário (a última parte do Nome Canônico) se relaciona com outras propriedades, como o Nome para Exibição ou o Nome de Logon - desde que o valor de cada atributo individual não viole o definição de esquema.
O comportamento do formulário "Novo usuário" nos Usuários e Computadores do Active Directory (assim como em vários outros diálogos) mudou significativamente entre o Windows Server 2003 e o Windows Server 2008 R2 - e é provavelmente por isso que eles não são consistentes
Você pode usar o PowerShell para mover as contas que não são do sistema, percorrer os usuários e renomeá-los para qualquer que seja o nome para exibição:
Para a primeira etapa, você também pode destacar todas as contas de usuário no ADUC e arrastá-las e soltá-las para outro local.
fonte
O CN / DN de um objeto não é tão relevante, pois é usado apenas internamente pelo AD e em consultas LDAP; os usuários finais (e administradores) raramente vêem isso. Na verdade, ele muda sozinho quando você move objetos, porque inclui o caminho LDAP completo do objeto.
Se você deseja padronizá-lo, isso pode ser feito sem efeitos colaterais; a única coisa com a qual os usuários realmente se preocupam é o nome de logon e, desde que você não mude isso , eles continuarão a fazer logon normalmente.
Para alterá-lo, você pode usar o console do ADUC ou o comando PowerShell Rename-ADObject .
fonte
O comando dsmove deve poder alterar o nome canônico para você. Eu fiz isso em ambientes de teste, mas nunca em ambientes ativos, por isso aconselho a continuar com cautela.
Além disso, semi-relacionado, eu recomendaria a implementação de outro controlador de domínio para evitar dor de cabeça caso o seu único controlador de domínio ocorra.
fonte