有没有办法验证 Active Directory 中的某些字段?例如,我们可以在 AD 中设置某些内容,以便用户的电话号码或其他字段/属性必须完整才能创建帐户。我想知道我们是否可以将此作为 AD 架构的一部分来执行。我所在的组织很大,不能强迫每个人都使用相同的工具来创建帐户(否则我可以构建一个帐户创建/修改工具并从应用程序中进行验证。)。
答案1
这其实是个好问题。这是“普通”数据库的一个关键特性,称为约束。如果没有约束,确保数据库的完整性、准确性和质量会更加困难和耗时。
某些属性已按此方式配置。例如,samAccountName 必须存在,并且在域内是唯一的。
我建议不要将系统属性从可选更改为强制,除非您对自己的 Active Directory 经验水平非常满意,并且已经在非生产环境中进行了彻底的测试。
另一种选择可能是计划任务,该任务扫描对象以查找需要符合要求的字段,并执行正则表达式来确定它们是否符合要求,并将其保存为报告以分发给需要进行任何更正的团队。
如果您对架构详细信息和强制属性感兴趣,以下内容可能会有所帮助:
Active Directory 架构的工作原理
http://technet.microsoft.com/en-us/library/cc773309%28v=ws.10%29.aspx
修改现有架构类或属性定义
http://technet.microsoft.com/en-us/library/cc757799%28v=ws.10%29.aspx
了解 Active Directory 中的唯一属性
https://blogs.msdn.com/b/openspecification/archive/2009/07/10/understanding-unique-attributes-in-active-directory.aspx
安装 Active Directory 架构管理单元
http://technet.microsoft.com/en-us/library/cc755885%28v=ws.10%29.aspx
答案2
这是为非技术问题寻找技术解决方案的典型例子。如果管理员无法遵循创建帐户的指南,则取消其创建帐户的权限。
此外,我不认为您可以配置架构更新所需的属性。如果有人知道如何做到这一点,我很乐意接受纠正。