То, как мы в настоящее время обрабатываем изменения имени учетной записи, довольно громоздко, и нам интересно, есть ли более простой способ сделать это. Приходит запрос на изменение имени, и мы создаем новую учетную запись AD, зеркалируя старую, затем раз в неделю мы связываем старый почтовый ящик с новой учетной записью, копируем их старый личный сетевой диск (перемещаемые профили), создаем новые учетные записи в определенных парить у них есть доступ (некоторые Ldap, некоторые нет) отключить старую учетную запись, включить новую, подождать, пока пользователь позвонит и скажет, что они не могут войти.
В процессе остается много места для ошибок или пропущенных шагов. Есть ли какие-либо недостатки в простом изменении данного, имени samaccount, отображаемого имени на исходном объекте вместо создания совершенно новой учетной записи? Как ваша компания справилась с изменением названия?
Спасибо.
Обычно мы меняем полное отображаемое имя, создаем новый адрес электронной почты для той же учетной записи, используя старый в качестве псевдонима, а все остальное оставляем без изменений. Это было стандартом среди мест, где я работал.
Пример: «Мэри Джонс» выходит замуж и хочет, чтобы сейчас все говорило «Мэри Смит». Она входит в систему как «mjones». Мы оставляем ее имя пользователя «mjones», меняем ее полное имя на «Мэри Смит» и создаем адрес электронной почты «Mary.Smith@example.com», оставляя «Mary.Jones@example.com» в качестве псевдонима.
Преимущества: Мэри продолжает получать электронную почту от людей, у которых есть ее старый адрес. Когда она отвечает, у нее будет ее новое имя, а ее новый адрес электронной почты, основанный на ее новом имени, является адресом по умолчанию. Теперь ее компьютер весело зовет ее Мэри Смит.
Недостатки: Иногда Мэри приходит в ярость и пытается заставить нас изменить ее логин на "msmith". Обычно мы говорим «нет», главным образом потому, что в одном месте все элементы управления идентификацией были отключены от имени пользователя, и это могло привести к неприятностям.
Я лично воспротивился бы созданию новой учетной записи для кого-то с изменением имени. Почтовый ящик, перемещаемый профиль и т.д .... просто нет. Дайте ей новое отображаемое имя и положите конец.
Некоторые приложения, в частности IIS, могут использовать идентификационную информацию, кэшированную Windows. Если учетная запись переименована, эта учетная запись может работать некорректно для этого приложения до тех пор, пока сервер, на котором кэшируется информация, не будет перезапущен.
Больше информации здесь:
Функция LsaLookupSids может возвращать старое имя пользователя вместо нового имени пользователя, если имя пользователя изменилось.
http://support.microsoft.com/kb/946358