我们目前处理帐户名称更改的方式相当麻烦,想知道是否有更简单的方法。名称更改请求通过后,我们会创建一个新的 AD 帐户,镜像旧帐户,然后每周一次将旧邮箱链接到新帐户,复制他们的旧个人网络驱动器(漫游配置文件),在他们可以访问的特定 soar 中创建新帐户(一些 Ldap,一些没有)禁用旧帐户,启用新帐户,等待用户打电话说他们无法进入。
该过程留下了很多错误或跳过步骤的空间。直接更改给定的 samaccount 名称、原始对象上的显示名称而不是创建一个全新的帐户有什么缺点吗?贵公司如何处理名称更改?
谢谢。
答案1
我们通常会更改完整的显示名称,为同一个帐户创建一个新的电子邮件地址,并使用旧地址作为别名,其他一切保持不变。在我工作过的地方,这一直是标准做法。
示例:“Mary Jones”结婚了,现在她想让所有东西都写上“Mary Smith”。她以“mjones”的身份登录。我们保留她的用户名“mjones”,将她的全名改为“Mary Smith”,然后创建“[电子邮件保护]“电子邮件地址,留下”[电子邮件保护]“作为别名。
优点:玛丽可以继续收到使用她旧地址的人发来的电子邮件。当她回复时,邮件中会显示她的新名字,而基于新名字的新电子邮件地址则是默认地址。现在她的电脑会愉快地称呼她为玛丽·史密斯。
缺点:有时 Mary 会大发脾气,试图让我们将她的登录名改为“msmith”。我们通常会拒绝,主要是因为在一个地方,所有身份管理内容都是根据用户名进行的,这会把事情搞砸。
我个人会拒绝为改名的人创建新帐户。邮箱、漫游配置文件等……不行。给她一个新的显示名称,然后就完事了。
答案2
某些应用程序(尤其是 IIS)可能会使用 Windows 缓存的身份信息。如果重命名帐户,则该帐户可能无法在该应用程序中正常工作,直到缓存该信息的服务器重新启动。
更多信息请点击这里:
如果用户名已更改,LsaLookupSids 函数可能会返回旧用户名而不是新用户名
http://support.microsoft.com/kb/946358