Windows AD域新建用户最佳实践探索

Views: 68

探索目标

创建最佳实践的 AD(全称:Windows ActiveDirectories) 账号。实现:

  1. AD域用户信息能够体现中文姓名英文名称
  2. 能够作为可靠的账号登录,可能演变为英文名和姓的拼音
  3. 能够把账号和姓名匹配起来,而不是每次要么只能看见中文名,要么只能看见英文名
  4. 方便AD域用户同步到 Synology、Azure Active Directory、邮箱、MS CRM、考勤机等设备中时,依旧直观,可辨识,可兼容。

探索尝试

  1. 姓(L):填写用户中文姓
  2. 名(F):填写用户中文名
  3. 英文缩写(I):填写用户英文名
    • 可包含大小写,但不建议加点号
  4. 姓名(A):填写用户中文姓名(小写英文名.小写姓的拼音)
    • 这里最复杂,要求又要显示姓名,又要显示账号
    • 填写姓名,是为管理提供管理方便,让账号可读可辨识。
      • 姓名要使用当地的语言来命名。例如中国大陆用户使用简体中文。如果是日本用户,则应该写日文。
    • 填写账号,是为用户登录提供方便,并为技术排查提供方便。
      • 有些系统不区分大小写,有些系统区分大小写。为防止出错,保证一致性,必须全部使用小写字母。
      • 为保证Windows、Linux、macOS等系统之间的更好的兼容性;数据库、UI前端之间的一致性,英文名和姓之间用英文点号。
      • 为什么要加括号?培训的时候,一句话就可以解决长时间的解释。
      • 小写英文名后面为什么加姓的小写拼音?增加账号辨识度,且符合姓名的一贯传统。
    • 用户登录名(U):填写小写英文名.小写姓的拼音
    • 用户登陆名( Windows 2000 以前版本)(W):填写小写英文名.小写姓的拼音

效果验证

Active Directory

AD域中信息显示

Azure Active Directory

Microsoft 365 center

windows 桌面

VMware Horizon 桌面

Synology NAS LDAP

附文

修改现有AD域人员信息

下面列出两个命令,用于修改现有AD域人员的信息。这两条命令是安全的,仅修改用户的显示属性,而不影响用户的登录账号属性。可以完成对现有AD域中人员信息的标准化。

在AD域的服务器中,以管理员权限运行PowerShell,执行以下命令。

# 修改AD用户的姓名值和CN值(改一个,另一个同步修改)
Get-Aduser aquari.li | Rename-ADObject -NewName "李宝琳(aquari.li)"


# 修改AD用户的信息(Surname,姓;GivenName,名字;Initials,英文缩写;DisplayName,显示名字;Description,说明注释,注释也可以留空,也可以修改为其他的能够对人员管理有帮助的信息)
Set-ADUser -Identity "aquari.li" -Surname "李" -GivenName "宝琳" -Initials "aquari" -DisplayName "李宝琳(aquari.li)" -Description "李宝琳(aquari.li)"

发表评论

Index