У меня есть собственный атрибут AD, добавленный в мою схему AD. Синтаксис атрибута - строка Unicode. Он добавлен в класс пользователей и предназначен для хранения идентификатора пользователя корпоративной ERP-системы. Проблема в том, что в этом атрибуте могут храниться два или более пользовательских объекта с одинаковым значением, чего я бы хотел избежать. Есть ли способ настроить атрибут AD так, чтобы он был уникальным в пределах домена? (То же поведение, что и sAMAccountName атрибут.)
то есть:
Если в AD уже существует пользовательский объект с этим атрибутом, установленным на «JSmith», и я пытаюсь установить этот атрибут с таким же значением для другого пользователя, Direcory Services откажется обновлять этот объект и выдаст мне ошибку «уже существует».
Функциональный уровень домена - windows 2003.
AD не имеет встроенных функций, позволяющих обеспечить принудительную уникальность расширений схемы. Слабая конвергенция базы данных с несколькими мастерами делает эту проблему сложной.(тм). Там есть встроенная функциональность для проверки дублирования некоторых встроенных атрибутов схемы, но бывают даже ситуации когда это может потерпеть неудачу.
Лучшей вашей надеждой будет написать что-то, что периодически «пресмыкалось» в AD и предупреждало администратора о дублировании (или самостоятельно запускало какую-то логику разрешения конфликтов).