看来在我的活动目录(win2k8r2)中,用户的名字是有限制的。 不是用户名,而是显示名称。 我试图添加两个用户相同(不同的帐户),但它不会让我因为重复的名称。
如果我在两个OU中尝试相同的方法,它确实有效。
有没有办法切换这个限制? 我有两个属于同一个OU的用户碰巧有相同的显示名称。
在AD中,创build帐户时,CN(initiall从显示名称派生而来)必须在同一个OU内是唯一的。 原因是DistinguishedName的值必须是唯一的,而DistinguishedName是由域\ ou(s)\ CN组成的,所以如果域相同而ou是相同的,则CN必须是不同的。 在AD中首次创build用户时,首字母和姓氏组合起来形成CN和displayName属性(Last,First),但创build之后可以更改这些属性,如下例所示。
示例解决方法:
如果你有两个同名的用户需要进入同一个OU,你可以进行以下操作。
这是基本的LDAP行为 – 不仅仅是AD。 DN是唯一的标识符 – 类似于一个URL。
如果它没有以这种方式工作,那么当search(dn = mydomain.com \ Users \ Accounting \ Smith,Joe)时,假设您必须在记帐中使用Joe Smith用户,那么您将返回两个用户对象。
为了避免这个问题,一些组织有时会使用员工ID作为始终唯一的CN。 这不会影响从sn和givenName属性派生的用户名。