Nomes de usuário do Active Directory: por que o nome canônico varia? Posso fazer algo para torná-los uniformes?

10

Eu sou um administrador autodidata de uma rede do Active Directory de trabalho usada para logins do Windows em ~ 30 PCs. Eu herdei o sistema de outra pessoa que também não teve nenhum treinamento direto da Microsoft e, como resultado, estou no escuro em algumas coisas.

A própria rede possui uma única máquina com Windows Server 2008 R2 atuando como controlador de domínio, DNS, compartilhamento de arquivos etc. Os logins funcionam bem, mas eu estava vasculhando a lista de usuários enquanto desabilitava contas antigas e notei algo que não entendi direito. .

Aqui estão algumas contas de usuário de exemplo:

  1. Nome de logon: john
    Nome: John
    Sobrenome: Smith
    Nome para exibição: John Smith
    Nome canônico do objeto: domain.com/Users/john

  2. Nome de logon: bob
    Nome: Bob
    Sobrenome: Francês
    Nome para exibição: Bob French
    Nome canônico do objeto: domain.com/Users/Bob French

O controlador de domínio atual foi trocado por outro que costumava executar o Windows Server 2003. A primeira conta de exemplo foi criada quando a caixa do Server 2003 era DC, a segunda foi criada quando a caixa mais recente do Server 2008 R2 era o DC. Por que o nome canônico é diferente e faz alguma diferença?

Estou muito chateado pelo fato de minha lista de usuários no navegador do Active Directory ter metade das contas como 'primeiro nome' e metade como 'primeiro nome sobrenome'.

Posso fazer algo para tornar todos iguais sem quebrar as contas de trabalho?

windows-server-2003 active-directory windows-server-2008-r2 evilspoons
fonte
Você realmente armazena os usuários na domain.com/UsersUO? Ou é apenas um exemplo?
Mathias R. Jessen
Sim - todos eles estão em domain.com/Users/, juntamente com vários grupos de segurança. Isso é uma prática ruim? Devo movê-los? Posso movê-los sem destruir tudo?
evilspoons
2
A menos que você tenha aplicativos externos usando ligações simples para autenticação, sim - você pode movê-los com segurança - e deve. Ele oferece um controle muito melhor sobre o appliance de Diretiva de Grupo para separá-los dos grupos de segurança conhecidos. Eu vou atualizar a resposta para cobrir esta bem
Mathias R. Jessen
2
Depende de quantos objetos estão no seu AD e de como você deseja que eles sejam organizados; geralmente, é melhor colocá-los nas UOs para organizá-los melhor e aplicar GPOs a eles, e é uma prática recomendada deixar os contêineres padrão (como "Usuários" sozinhos).
Massimo

Respostas:

8

O Active Directory realmente não se preocupa com o modo como o RDN do objeto de conta de usuário (a última parte do Nome Canônico) se relaciona com outras propriedades, como o Nome para Exibição ou o Nome de Logon - desde que o valor de cada atributo individual não viole o definição de esquema.

O comportamento do formulário "Novo usuário" nos Usuários e Computadores do Active Directory (assim como em vários outros diálogos) mudou significativamente entre o Windows Server 2003 e o Windows Server 2008 R2 - e é provavelmente por isso que eles não são consistentes

Você pode usar o PowerShell para mover as contas que não são do sistema, percorrer os usuários e renomeá-los para qualquer que seja o nome para exibição:

# Create new OU named RegularUsers
New-ADOrganizationalUnit -Name RegularUsers -Path "dc=domain,dc=com"

# Retrieve all users that are not critical system objects
$users = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter {-not(isCriticalSystemObject -like '*')}

# Go through each and move to the new OU
foreach($user in $users){
    Move-ADObject $user -TargetPath "OU=RegularUsers,DC=domain,DC=com"
}

# Retrieve all users in the new OU
$movedUsers = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter '*'

foreach($user in $movedUsers){
    # Test if Display Name and object Name is the same, if not - rename
    if($user.DisplayName -ne $user.Name)
    { 
        Rename-ADObject $user -NewName "$($user.DisplayName)" 
    }
}

Para a primeira etapa, você também pode destacar todas as contas de usuário no ADUC e arrastá-las e soltá-las para outro local.

Mathias R. Jessen
fonte
2

O CN / DN de um objeto não é tão relevante, pois é usado apenas internamente pelo AD e em consultas LDAP; os usuários finais (e administradores) raramente vêem isso. Na verdade, ele muda sozinho quando você move objetos, porque inclui o caminho LDAP completo do objeto.

Se você deseja padronizá-lo, isso pode ser feito sem efeitos colaterais; a única coisa com a qual os usuários realmente se preocupam é o nome de logon e, desde que você não mude isso , eles continuarão a fazer logon normalmente.

Para alterá-lo, você pode usar o console do ADUC ou o comando PowerShell Rename-ADObject .

Massimo
fonte
2
Eu diria que o CN / DN é importante quando se trata de integração com aplicativos. A integração do AD geralmente não é encontrada, onde o LDAP geralmente está. É bom ter seu CN / DN seguindo um padrão. Parece mais bonito também :) Ótimas informações sobre como realmente alterá-lo.
Steve Butler
1

O comando dsmove deve poder alterar o nome canônico para você. Eu fiz isso em ambientes de teste, mas nunca em ambientes ativos, por isso aconselho a continuar com cautela.

Além disso, semi-relacionado, eu recomendaria a implementação de outro controlador de domínio para evitar dor de cabeça caso o seu único controlador de domínio ocorra.

DKNUCKLES
fonte
Se o nível funcional do domínio e da floresta estiver no Server 2008 R2, a caixa antiga do Server 2003 pode atuar como um controlador de domínio secundário ou precisamos atualizar o sistema operacional dessa máquina?
evilspoons
2
Você não pode aumentar o nível funcional do domínio / floresta para a versão X, a menos que todos os controladores de domínio no domínio / floresta tenham pelo menos essa versão do sistema operacional.
Massimo
@evilspoons sim, você pode, mas, como diz massimo, terá que estar no nível de domínio de 2003 para fazer isso.
Steve Butler
4
@SteveButler Desde DFL / FFL 2008R2 não pode ser revertido mais longe do nível de 2008, "sim" definitivamente não é a resposta aqui
Mathias R. Jessen
Tudo bem, então minhas opções são reconstruir o domínio em um nível de 2003 (não vai acontecer) ou atualizar a caixa de 2003 para 2008 R2 (provavelmente também não vai acontecer), meu chefe gastaria mais cedo o dinheiro em uma máquina nova do que jogar com um antigo). Vou garantir ainda mais que nossos backups sejam bons, para o caso de algo morrer ...
evilspoons