我在 AD 架构中添加了自定义 AD 属性。属性的语法是 Unicode 字符串。它被添加到用户类中,其目的是存储企业 ERP 系统的用户 ID。问题是,我可以在该属性中存储两个或多个具有相同值的用户对象,这是我想避免的。有没有办法配置 AD 属性,使其在域边界内是唯一的?(与sAMAccountName属性相同的行为。)
IE :
如果 AD 中已存在将此属性设置为“JSmith”的用户对象,并且我尝试为另一个用户设置具有相同值该属性,则 Direcory Services 将拒绝更新该对象并给我“已存在”错误。
域功能级别是Windows 2003。
答案1
AD 没有内置功能来允许架构扩展具有强制唯一性。作为一个松散的融合多主数据库,这成为一个难题(tm)。内置功能用于检查某些内置架构属性是否重复,但甚至有情况当这可能失败时。
您最好的希望是编写一些内容,定期通过 AD“卑躬屈膝”并提醒管理员重复(或自行启动某种冲突解决逻辑)。