Attribut "name" im AD

[zahni 588]

Hi,

 

da  ich in den offiziellen Dokus von MS das irgendwie nicht finde:

Kann mir jemand sagen, wozu das Attribut "name" beim Benutzer gut ist? Das ist offenbar vom Inhalt her identisch mit dem "cn" und wird in der GUI immer identisch mit geändert.

Da wir gerade in einem Projekt sind, bei dem der Quest-AD-Migrator benutzt wird, bei dem der CN und der SamAccountName geändert werden soll, zeigt es sich aber, dass dieses Attribut scheinbar keine Funktion hat. Es muss also mit CN nicht identisch  sein. Wir würden den Inhalt eventuell temporär für etwas Anderes nutzen. Kann man das Attribut überhaupt unabhängig vom CN ändern? In einem Attributeditor lassen sich CN und NAME jedenfalls nicht ändern. Per LDP kommt

 

Error 0x20B1 Das Attribut konnte nicht geändert werden, da es dem System gehört.

 

 

 

 

[cj_berlin 1.510]

https://www.rlmueller.net/Name_Attributes.htm

 

Das sollte es klarer machen. Du kannst name nicht getrennt von CN verwenden.

[cj_berlin 1.510]

ADD: Im Quest Migration Manager kann man die Synchronisierung des "name" anfordern, was einer Umbenennung des Objektes gleichkommt, falls es bereits vorhanden war aber unter einem anderen CN...

 

[NilsK 3.057]

Moin,

 

vor einer Stunde schrieb cj_berlin:

Das sollte es klarer machen.

 

der war gut.

 

Gruß, Nils

PS. AD-Attribute und "klar" ... wo kommen wir denn da hin?

[zahni 588]

Das habe ich mich auch gefragt... :-D:

 

"Name" und "CN" ist also immer identisch,

bearbeitet vor 13 Stunden von zahni

[BOfH_666 586]

vor einer Stunde schrieb zahni:

"Name" und "CN" ist also immer identisch,

Probier's doch einfach aus. Mach Dir einen Test-Account und ändere das Attribut "Name" oder "CN" und schau, was mit dem jeweils anderen Attribut passiert.  🤷🏼‍♂️  ... das dauert 3 Minuten ... 

bearbeitet vor 12 Stunden von BOfH_666

[NilsK 3.057]

Moin,

 

fragen wir mal anders: 

vor 19 Stunden schrieb zahni:

Wir würden den Inhalt eventuell temporär für etwas Anderes nutzen.

 

Was ist denn da die Anforderung?

 

Gruß, Nils

 

[zahni 588]

Es ist schwierig. Wir migrieren in ein neues AD (nicht meine Idee) und wechseln dabei den Anmeldnamen. Es gibt einen Trust mit SID-History via Quest-Software.

Das Problem: Die Herrschaften auf der anderen Seite verwenden nicht "HomeShare" zum Mappen vom UserHome, sondern den Inhalt von SamAccoountName, CN, oder ähnlich.

Das passt dann aber nicht zu den Namen der User-Ordner, die wir aber noch nicht ändern können.

 

Verstanden? Ich auch nicht. Der DL raubt mir den letzten Nerv. Aktuelle Idee: Den alten Usernamen in ein Extensionattribut schreiben (durch Quest).

bearbeitet vor 6 Stunden von zahni

[cj_berlin 1.510]

Was wir in solchen Szenarien meistens getan haben, war folgendes:

• Accounts im Ziel anlegen (wegen mir per PowerShell, insbesondere wenn auch OU-Strukturen stark unterschiedlich sind)
• Die Attribute, die im Ziel wichtig sind, so konfigurieren, wie im Ziel vorgesehen, und aus der Quest-Sync ausschließen
• Dann die Sync anschalten (irgendein Attribut muss ja zum Matching vorhanden sein, zu Not benutzerdefiniert) und Kennwort, sidHistory, Gruppenmitgliedschaften, managedBy und den ganzen Beziehungsrotz synchronisieren lassen

Wenn euer DL nicht gerade "Facts & Figures" ist (aber die verstehen ihr Handwerk, das wäre euch da nicht passiert) können sie mich gern kontakiteren und die Ideen mal mit einem frischen Satz Augen von jemandem, der jahrelang auf der "PSO Waiver"-Liste für dieses Produkt gestanden hat, begutachten lassen  

bearbeitet vor 3 Stunden von cj_berlin