सक्रिय निर्देशिका उपयोगकर्ता नाम: विहित नाम भिन्न क्यों होता है? क्या मैं उन्हें वर्दी बनाने के लिए कुछ कर सकता हूं?

मैं ~ 30 पीसी पर विंडोज लॉगिन के लिए उपयोग किए जाने वाले सक्रिय निर्देशिका नेटवर्क के एक स्वयं-सिखाया व्यवस्थापक हूं। मुझे यह सिस्टम किसी और से विरासत में मिला है, जिसके पास कोई प्रत्यक्ष Microsoft प्रशिक्षण नहीं था और परिणामस्वरूप मैं कुछ चीजों पर अंधेरे में हूं।

नेटवर्क के पास डोमेन नियंत्रक, DNS, फ़ाइल शेयर आदि के रूप में एक एकल विंडोज सर्वर 2008 R2 मशीन अभिनय है, लॉगिन ठीक काम करते हैं, लेकिन मैं पुराने खातों को अक्षम करते समय उपयोगकर्ताओं की सूची के आसपास घूम रहा था और मैंने कुछ देखा जो मुझे समझ में नहीं आया। ।

यहां एक युगल नमूना उपयोगकर्ता खाते हैं:

1. लोगन नाम: जॉन
   प्रथम नाम: जॉन
   अंतिम नाम: स्मिथ
   प्रदर्शन नाम: जॉन स्मिथ
   कैनन का नाम वस्तु का नाम: domain.com/User/john

2. लोगन नाम: बॉब
   पहला नाम: बॉब
   अंतिम नाम: फ्रेंच
   प्रदर्शन नाम: बॉब फ्रेंच
   कैनन का नाम वस्तु: domain.com/User/Bob फ्रेंच

वर्तमान डोमेन नियंत्रक को किसी दूसरे से स्वैप किया गया था जो विंडोज सर्वर 2003 को चलाता था। पहला नमूना खाता तब बनाया गया था जब सर्वर 2003 बॉक्स डीसी था, दूसरा तब बनाया गया था जब नया सर्वर 2008 आर 2 बॉक्स डीसी था। Canonical नाम अलग क्यों है, और क्या इससे कोई फर्क पड़ता है?

मैं ज्यादातर इस तथ्य से नाराज हूं कि सक्रिय निर्देशिका ब्राउज़र में मेरे उपयोगकर्ताओं की सूची में आधे खाते 'Firstname' के रूप में और आधे 'firstname lastname' के रूप में हैं।

क्या मैं काम करने वाले खातों को तोड़ने के बिना उन सभी को समान बनाने के लिए कुछ कर सकता हूं?

सक्रिय निर्देशिका वास्तव में स्वयं के साथ चिंतित नहीं होती है कि उपयोगकर्ता खाता ऑब्जेक्ट का RDN (Canonical नाम का अंतिम भाग) प्रदर्शन नाम या लॉगऑन नाम जैसी अन्य संपत्तियों से संबंधित है - जब तक कि प्रत्येक व्यक्तिगत विशेषता का मूल्य उल्लंघन नहीं करता है स्कीमा परिभाषा;

सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर (साथ ही कई अन्य संवादों) में "नए उपयोगकर्ता" फॉर्म का व्यवहार विंडोज सर्वर 2003 और विंडोज सर्वर 2008 R2 के बीच काफी बदल गया है - और शायद यही कारण है कि वे सुसंगत नहीं हैं

आप गैर-सिस्टम खातों को स्थानांतरित करने के लिए PowerShell का उपयोग कर सकते हैं, और फिर उपयोगकर्ताओं के माध्यम से जा सकते हैं और उनका प्रदर्शन नाम जो भी है उनका नाम बदल सकते हैं:

# Create new OU named RegularUsers
New-ADOrganizationalUnit -Name RegularUsers -Path "dc=domain,dc=com"

# Retrieve all users that are not critical system objects
$users = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter {-not(isCriticalSystemObject -like '*')}

# Go through each and move to the new OU
foreach($user in $users){
    Move-ADObject $user -TargetPath "OU=RegularUsers,DC=domain,DC=com"
}

# Retrieve all users in the new OU
$movedUsers = Get-ADUser -SearchBase "CN=Users,DC=domain,DC=com" -SearchScope OneLevel -Filter '*'

foreach($user in $movedUsers){
    # Test if Display Name and object Name is the same, if not - rename
    if($user.DisplayName -ne $user.Name)
    { 
        Rename-ADObject $user -NewName "$($user.DisplayName)" 
    }
}

पहले चरण के लिए, आप ADUC में सभी उपयोगकर्ता खातों को केवल हाइलाइट कर सकते हैं और उन्हें दूसरे स्थान पर ड्रैग-एन-ड्रॉप कर सकते हैं।

किसी वस्तु का CN / DN सब कुछ प्रासंगिक नहीं है, क्योंकि इसका उपयोग केवल AD और LDAP प्रश्नों में आंतरिक रूप से किया जाता है; अंत उपयोगकर्ताओं (और प्रशासक) बहुत कम ही इसे देखने के लिए मिलता है। जब आप ऑब्जेक्ट को इधर-उधर करते हैं तो यह वास्तव में अपने आप बदल जाता है, क्योंकि इसमें ऑब्जेक्ट का पूर्ण LDAP पथ शामिल होता है।

यदि आप इसे मानकीकृत करना चाहते हैं, तो यह बिना किसी दुष्प्रभाव के किया जा सकता है; केवल एक चीज उपयोगकर्ताओं को वास्तव में लेकर चिंतित हैं उनके लॉगऑन नाम है, और जब तक आप में परिवर्तन नहीं करते के रूप में है कि वे सामान्य रूप से पर लॉग ऑन करने के लिए जारी रहेगा।

इसे बदलने के लिए, आप या तो ADUC कंसोल का उपयोग कर सकते हैं, या PowerShell कमांड का नाम बदलें-ADObject ।

Dsmove आदेश आप के लिए विहित नाम बदलने के लिए सक्षम होना चाहिए। मैंने यह परीक्षण वातावरण में किया है, लेकिन लाइव वातावरण में कभी नहीं, इसलिए मैं सावधानी के साथ आगे बढ़ने की सलाह दूंगा।

इसके अलावा, अर्ध-संबंधित, मैं एक और डोमेन नियंत्रक को लागू करने की सलाह दूंगा कि सिरदर्द से बचने के लिए आपके एकमात्र डीसी को नीचे जाना चाहिए।