Active Directory 的用户命名约定 - sAMAccountName

Active Directory 的用户命名约定 - sAMAccountName

查看进行集成并讨论在 AD 中使用用户名填充的 sAMAccountName 属性。

目前,系统使用首字母和姓氏,如果检测到该用户名的重复帐户,则会添加一个字母,例如 Robert McKay 的用户名将是:rmckay。创建的第一个帐户可以正常工作,但是如果有第二个帐户,则该用户名将是 romckay,并继续沿着一条奇怪的路径前进,即添加额外的字母和数字,以强制用户的唯一性。客户希望改用完全数字的用户名。现在,用户名将不再是 rmckay,而是 0000001(用于登录 AD 连接的所有东西或从 AD 中提取的内容)。

另外,有些系统从 sAMAccountName 获得其帐户登录名和生成信息 - 因此,即使在电子邮件和已设置 AD 登录的系统中,依赖于 sAMAccountName 的下游系统仍然需要以下登录名:员工 ID + 密码 vs 友好的用户名 + 密码。

此外,员工们普遍认为用户友好度会下降——然而,一个主要问题是电子邮件可能出现的问题,不过这将通过使用别名来解决。有没有人知道哪里可以成功地将员工 ID 实现为 sAMAccountName,并发现最终结果是积极的(用户友好度会下降吗?)或者可以指出可以回顾并分享的最佳实践?

答案1

用户 ID 生成和分配的常见最佳实践表明,ID 应该是:

  1. 在管理域内和一段时间内都是唯一的(即没有重复)。

  2. 一致的是,它们不应包含将来可能发生变化的信息(例如员工的角色、就业状况等)。

  3. 坚持认为用户应该在整个就业期间使用同一个 ID。

  4. 令人难忘的,是指 ID 应该易于用户记住。

可以创建一个基于指定数字(例如员工 ID 号)的用户 ID 系统,以符合上述最佳实践。这样做的优点和缺点可以总结如下:

优势

  1. 该ID不包含任何个人信息(即用户姓名)。

  2. 用户有时会更改其法定姓名(例如由于结婚、变性等),并可能坚持要求相应地更新其用户名。数字 ID 系统可让您避免这种麻烦。

  3. ID 生成/分配得到简化(即您不必担心人们共享相同名称的情况)。

缺点

  1. 用户可能很难记住

  2. 如果使用员工编号,您必须决定如何对待承包商和临时工。此外,如果这些员工成为全职员工,会发生什么情况。

我的看法是,基于数字 ID 的用户名系统在上述最佳实践点 2 和 3 上尤其强大,但在第 4 点上却很弱。但是,如果用户必须记住的用户 ID/密码组合数量保持在最低限度(例如,每个用户分配一个通用的数字 ID/密码对,可用于所有系统,包括域、电子邮件等),我认为这不会有什么大问题。如果有多个独立的系统需要单独的登录凭据,我认为除了基于名称的 ID 之外再添加一个数字 ID 会给用户带来负担。

参考: 用户 ID 形成的最佳实践

相关内容