在我的 Active Directory (win2k8r2) 中,似乎对用户名有限制。不是用户名,而是显示名称。我尝试添加两个具有相同名称(不同帐户)的用户,但由于名称重复,它不允许我这样做。
如果我在两个 OU 之间尝试相同的操作,它确实有效。
有没有办法取消这个限制?我有两个用户属于同一个 OU,而且碰巧有完全相同的显示名称。
答案1
在 AD 中,CN(最初从创建帐户时的显示名称派生而来)在同一个 OU 内必须是唯一的。原因是 DistinguishedName 值必须是唯一的,并且 DistinguishedName 由域\ou(s)\CN 组成,因此如果域相同且 ou 相同,则 CN 必须不同。当您首次在 AD 中创建用户时,名字和姓氏会组合在一起形成 CN 和 displayName 属性(姓氏、名字),但这些可以在创建后更改,如下例所示。
解决方法示例:
如果有两个同名的用户需要进入同一个 OU,您可以执行以下操作。
- 创建第一个用户 Joe Smith(DN 为 yourdomain.com\Accounting“Smith, Joe”)
- 将“Smith, Joe”重命名为“Smith, Joe L”之类的名称(DN 为 yourdomain.com\Accounting“Smith, Joe L.”
- 创建第二个用户 Joe Smith(DN 为 yourdomain.com\Accounting“Smith, Joe”)
- 此时,您可以让第二个 joe smith 保持“Smith, Joe”,或者您可以像步骤 2 那样进行更改。
这是基本的 LDAP 行为 - 而不仅仅是 AD。DN 是唯一标识符 - 有点类似于 URL。
如果它不起作用,那么当搜索 (dn=mydomain.com\Users\Accounting\Smith, Joe) 时,您将返回两个用户对象,假设您在 Accounting OU 中有两个 Joe Smith 用户。
为了避免这个问题,一些组织有时会使用员工 ID 作为 CN,该 ID 始终是唯一的。这不会影响从 sn 和 givenName 属性派生出的用户姓名。