我们在域 USER-2014 上将一台新计算机命名为 USER。这台计算机是为已经在域中拥有一台名为 USER 的计算机的人准备的。我们停止使用名为 USER 的旧计算机,现在想将 USER-2014 重新命名为 USER。当我尝试重命名时,我收到一条消息“尝试将计算机重命名为‘USER’时发生以下错误:帐户已存在。”这很合理,因为活动目录中有一台名为 USER 的计算机。
可以从 Active Directory 中删除名为 USER 的计算机吗?我假设这样我就可以把 USER-2014 重新命名为 USER。我担心 Windows 生态系统中的某些东西仍在引用它,删除它会导致某个地方出现悬空引用,从而导致问题。如果我可以将 USER 重命名为 USER-OLD,这也可以解决我的问题,但我在 Active Directory 中找不到重命名功能。
这里有最佳实践或合理建议吗?任何建议都将不胜感激。我对网络管理还很陌生。
答案1
您在这里谈到了许多观点,我将尝试依次解决每一个问题。
从活动目录中删除名为 USER 的计算机可以吗?
视情况而定。如果旧电脑已经消失,再也不会回来,那么很可能。请记住,一旦删除它(或 AD 中的任何对象),就无法通过重新创建具有相同名称的新对象来恢复它。每个对象都有一个与之关联的唯一安全标识符 (SID),并且正是这个 SID 用于分配 ACL、组成员身份等权限。仅仅因为替换对象具有相同的名称并不意味着不是意味着它将继承相同的权限。
也就是说,对于标准域加入的工作站来说,影响可能很小。如果这是用户或组对象,我会更担心。
悬垂引用
如果您在任何 ACL、组等中引用了旧计算机帐户,那么一旦删除它,您会发现这些引用仅引用 SID,而不是原始计算机名称。如果您遇到任何仅显示 SID 的引用,那么这很可能就是原因(尽管不是唯一的原因,所以要小心!)
重命名计算机帐户
您无法直接从 Active Directory 用户和计算机管理单元重命名计算机帐户。重命名计算机帐户的正确方法是在客户端执行此操作。您应该使用具有完全访问权限的用户帐户登录到客户端以修改 AD 中的计算机对象(例如,域管理员或已被委派相关权限的备用帐户)。
如果您尝试直接从 Active Directory 中重命名对象,那么下次尝试使用计算机时将遇到信任关系问题。
最佳实践
这部分仅代表我的观点,其他人可能有不同的观点。
我永远不会用与人相关的名称来命名计算机对象(例如,John Smith 的计算机不应该名为 johnsPC)。相反,应该想出一个合理的资产命名约定,供整个组织使用(例如,corppc123)。这样,当计算机资产退役和更换时,您不必担心将新对象重命名为与旧对象相同;您只需替换它并继续前进即可。
不管您如何命名和更换计算机,您都需要确保保持组成员身份等项目的更新(例如 WSUS 组、SCCM 组等)。还请考虑您拥有的任何引用计算机名称的脚本,这些脚本将需要更新(或者更好的是,进行更改,以便它们不直接引用 PC 对象)。然而,这有点超出了这个问题的范围!
答案2
如果旧计算机不再使用,并且没有理由与 AD 关联,则可以安全地销毁旧计算机对象。我每年都会这样做几次,从未遇到任何问题。
答案3
只需删除旧的计算机对象。
答案4
我将改变将对象命名为 AD 中的保留名称的惯例,例如将计算机对象命名为“USER”。此惯例只会给未来的管理员带来困惑。