Benutzerdefiniertes AD-Attribut mit eindeutigem Wert

7

Ich habe meinem AD-Schema ein benutzerdefiniertes AD-Attribut hinzugefügt. Die Syntax des Attributs lautet Unicode String. Es wird der Benutzerklasse hinzugefügt und dient zum Speichern der Benutzer-ID des ERP-Systems des Unternehmens. Das Problem ist, dass ich zwei oder mehr Benutzerobjekte mit demselben Wert in diesem Attribut speichern kann, was ich vermeiden möchte. Gibt es eine Möglichkeit, das AD-Attribut so zu konfigurieren, dass es innerhalb der Domänengrenze eindeutig ist? (Das gleiche Verhalten wie sAMAccountNameAttribut.)

dh:

Wenn in AD bereits ein Benutzerobjekt mit diesem Attribut auf "JSmith" vorhanden ist und ich versuche, dieses Attribut für einen anderen Benutzer mit demselben Wert festzulegen, lehnt Direcory Services die Aktualisierung dieses Objekts ab und gibt den Fehler "bereits vorhanden" aus.

Die Domänenfunktionsebene ist Windows 2003.

windows-server-2003 active-directory Zilog
quelle
Wie wird das Attribut ausgefüllt, füllen Sie es aus, füllt ein Programm es aus?
Winter Faulk
Es wird von Service Desk-Mitarbeitern gefüllt, wenn sie ein Konto erstellen
Zilog
Ist es eine Zeichenfolge, die mithilfe eines sha1-Hashs des Benutzernamens oder des E-Mail-Kontos generiert werden kann?
Winter Faulk
Es ist nur die Benutzer-ID des ERP-Systems, eine Zeichenfolge von 3 bis 10 Zeichen. Es muss mit der im erp-System definierten Benutzer-ID übereinstimmen.
Zilog
Würde das ERP-System nicht verlangen, dass jede Zeichenfolge eindeutig ist, sodass Sie niemals eine doppelte Zeichenfolge einfügen sollten? Ich stelle alle Fragen, weil ich nicht glaube, dass es sowieso möglich ist, zu überprüfen, ob die Zeichenfolge bereits verwendet wird, außer dass ein Skript verwendet wird, das zuerst prüft und dann den Wert eingibt, wenn er eindeutig ist.
Winter Faulk

Antworten:

5

AD verfügt nicht über integrierte Funktionen, mit denen Schemaerweiterungen die Eindeutigkeit erzwingen können. Als lose Konvergenz-Multi-Master-Datenbank ist dies ein schwieriges Problem (tm) . Es ist eine Funktionalität integriert, mit der überprüft werden kann, ob einige integrierte Schemaattribute doppelt vorhanden sind. Es gibt jedoch auch Situationen, in denen dies fehlschlagen kann .

Ihre beste Hoffnung wird darin bestehen, etwas zu schreiben, das regelmäßig durch AD "grovelte" und einen Administrator auf Duplizierungen aufmerksam machte (oder selbst eine Art Konfliktlösungslogik zu initiieren).

Evan Anderson
quelle
Ja, ich habe alle Einschränkungen in MS-ADTS doc bereits ohne Freude durchlaufen. Hoffnung stirbt zuletzt :)) Danke für die Antwort.
Zilog
PowerShell zur Rettung! Anstatt das ldap-Tool zu verwenden, das Sie gerade verwenden, können Sie es mit einem Skript ausführen. Es kann nach Duplikaten suchen, bevor das AD-Attribut festgelegt wird.
Longneck