Nombres de usuario de Active Directory: ¿por qué varía el nombre canónico? ¿Puedo hacer algo para que sean uniformes?

10

Soy un administrador autodidacta de una red de Active Directory de trabajo utilizada para inicios de sesión de Windows en ~ 30 PC. Heredé el sistema de otra persona que tampoco tenía ninguna capacitación directa de Microsoft y, como resultado, estoy en la oscuridad en un par de cosas.

La red en sí tiene una sola máquina con Windows Server 2008 R2 que actúa como controlador de dominio, DNS, archivos compartidos, etc. Los inicios de sesión funcionan bien, pero estaba hurgando en la lista de usuarios al deshabilitar cuentas antiguas y noté algo que no entiendo .

Aquí hay un par de cuentas de usuario de muestra:

  1. Nombre de inicio de sesión: John
    Nombre: John
    Apellido: Smith
    Nombre para mostrar: John Smith
    Nombre canónico del objeto: dominio.com/Users/john

  2. Nombre de inicio de sesión: bob
    Nombre: Bob
    Apellido: francés
    Nombre para mostrar: Bob francés
    Nombre canónico del objeto: dominio.com/Users/Bob francés

El controlador de dominio actual se cambió de otro que solía ejecutar Windows Server 2003. La primera cuenta de muestra se creó cuando el cuadro Server 2003 era DC, el segundo se creó cuando el cuadro Server 2008 R2 más nuevo era DC. ¿Por qué el nombre canónico es diferente y hace alguna diferencia?

Me molesta principalmente el hecho de que mi lista de usuarios en el navegador del directorio activo tiene la mitad de las cuentas como 'nombre' y la otra mitad como 'nombre apellido'.

¿Puedo hacer algo para que todos sean iguales sin romper cuentas de trabajo?

windows-server-2003 active-directory windows-server-2008-r2 cucharas malvadas
fuente
¿Realmente almacena a los usuarios en la domain.com/Usersunidad organizativa? ¿O es solo un ejemplo?
Mathias R. Jessen
Sí, todos están en domain.com/Users/ junto con varios grupos de seguridad. ¿Es esta una mala práctica? ¿Debería moverlos? ¿Puedo moverlos sin destruir todo?
evilspoons
2
A menos que tenga aplicaciones externas que utilicen enlaces simples para la autenticación, sí, puede moverlas con seguridad, y debería hacerlo. Proporciona un control mucho mejor sobre el dispositivo de directiva de grupo para separarlos de los grupos de seguridad conocidos. Actualizaré la respuesta para cubrir esto también
Mathias R. Jessen
2
Depende de cuántos objetos hay en su AD y de cómo los quiere organizados; en general, es mejor colocarlos en unidades organizativas para organizarlos mejor y aplicarles GPO, y se considera una buena práctica dejar los contenedores predeterminados (como "Usuarios" solos).
Massimo

Respuestas:

8

Active Directory realmente no se preocupa por cómo el RDN del objeto de la cuenta de usuario (la última parte del nombre canónico) se relaciona con otras propiedades como el nombre para mostrar o el nombre de inicio de sesión, siempre que el valor de cada atributo individual no viole el definición de esquema

El comportamiento del formulario "Nuevo usuario" en Usuarios y equipos de Active Directory (así como en varios otros diálogos) ha cambiado significativamente entre Windows Server 2003 y Windows Server 2008 R2, y probablemente es por eso que no son consistentes

Puede usar PowerShell para mover las cuentas que no son del sistema, y ​​luego pasar por los usuarios y cambiarles el nombre a cualquiera sea su Nombre para mostrar:

# Create new OU named RegularUsers
New-ADOrganizationalUnit -Name RegularUsers -Path "dc=domain,dc=com"

# Retrieve all users that are not critical system objects
$users = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter {-not(isCriticalSystemObject -like '*')}

# Go through each and move to the new OU
foreach($user in $users){
    Move-ADObject $user -TargetPath "OU=RegularUsers,DC=domain,DC=com"
}

# Retrieve all users in the new OU
$movedUsers = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter '*'

foreach($user in $movedUsers){
    # Test if Display Name and object Name is the same, if not - rename
    if($user.DisplayName -ne $user.Name)
    { 
        Rename-ADObject $user -NewName "$($user.DisplayName)" 
    }
}

Para el primer paso, también puede resaltar todas las cuentas de usuario en ADUC y arrastrarlas y soltarlas en otra ubicación.

Mathias R. Jessen
fuente
2

El CN / DN de un objeto no es tan relevante, ya que solo lo utiliza internamente AD y en consultas LDAP; los usuarios finales (y los administradores) rara vez llegan a verlo. En realidad, cambia por sí solo cuando mueve los objetos, porque incluye la ruta LDAP completa del objeto.

Si desea estandarizarlo, puede hacerlo sin ningún efecto secundario; Lo único que realmente les preocupa a los usuarios es su nombre de inicio de sesión, y siempre que no cambie eso , continuarán iniciando sesión como de costumbre.

Para cambiarlo, puede usar la consola ADUC o el comando PowerShell Rename-ADObject .

Massimo
fuente
2
Yo diría que CN / DN es importante cuando se trata de integrarse con aplicaciones. La integración de AD generalmente no se encuentra, donde LDAP generalmente está. Es bueno que su CN / DN siga un estándar. También se ve más bonito :) Sin embargo, hay una gran información sobre cómo cambiarlo.
Steve Butler
1

El comando dsmove debería poder cambiar el nombre canónico por usted. Lo he hecho en entornos de prueba pero nunca en entornos en vivo, por lo que aconsejaría proceder con precaución.

Además, semi-relacionado, recomendaría implementar otro controlador de dominio para evitar un dolor de cabeza en caso de que su único DC se caiga.

DKNUCKLES
fuente
Si el nivel funcional del dominio y del bosque está en Server 2008 R2, ¿puede el antiguo cuadro Server 2003 actuar como un DC secundario o necesitamos actualizar el sistema operativo de esa máquina?
evilspoons
2
No puede elevar el nivel funcional dominio / bosque a la versión X a menos que todos los DC en el dominio / bosque tengan al menos esa versión del sistema operativo.
Massimo
@evilspoons sí, puedes, pero como dice massimo, tendrá que estar en un nivel de dominio de 2003 para hacerlo.
Steve Butler
44
@SteveButler Dado que DFL / FFL 2008R2 no puede revertirse más allá del nivel 2008, "sí" definitivamente no es la respuesta aquí
Mathias R. Jessen
Muy bien, entonces mis opciones son reconstruir el dominio en un nivel de 2003 (no va a suceder) o actualizar el cuadro de 2003 a 2008 R2 (probablemente tampoco va a suceder, mi jefe preferiría gastar el dinero en una nueva máquina que jugar con un el viejo). Voy a hacer copias de seguridad adicional de que nuestros son buenos, aunque, por si acaso algo muere ...
evilspoons