Похоже, что в моем Active Directory (win2k8r2) есть ограничение на имя пользователя. НЕ имя пользователя, а отображаемое имя. Я попытался добавить двух пользователей с одинаковыми (разными учетными записями), но это не позволило мне из-за повторяющегося имени.
Если я попробую сделать то же самое для двух OU, это сработает.
Есть ли способ снять это ограничение? У меня есть два пользователя, которые принадлежат к одному и тому же подразделению, у которых одинаковое отображаемое имя.
В AD CN (начальное имя, производное от отображаемого имени при создании учетной записи) должен быть уникальным в пределах одного подразделения. Причина в том, что значение DistinguishedName должно быть уникальным, а DistinguishedName состоит из домена \ ou (s) \ CN, поэтому, если домен один и тот же ou, то CN должен быть другим. Когда вы впервые создаете пользователя в AD, имя и фамилия объединяются для формирования атрибутов CN и displayName (Last, First), но их можно изменить после создания, как в примере ниже.
Пример обходного пути:
Если у вас есть два пользователя с одним и тем же именем, которым необходимо войти в одно подразделение, вы должны сделать следующее.
Это фундаментальное поведение LDAP, а не только AD. DN - это уникальный идентификатор, похожий на URL.
Если бы это не сработало, то при поиске (dn = mydomain.com \ Users \ Accounting \ Smith, Joe) вы бы вернули два пользовательских объекта, если бы у вас были пользователи Joe Smith в бухгалтерском учете ou.
Чтобы избежать этой проблемы, некоторые организации иногда используют идентификатор сотрудника в качестве CN, который всегда уникален. Это не влияет на имя пользователя, производное от атрибутов sn и givenName.