doppelten samaccountname finden

[alpino 10]

Hallo,

 

folgendes Problem:

 

Aus irgendeinem Grund hat ein AD-Account unterschiedliche Werte bei Logonname und Logonname(pre Win2000 alias samaccountname). Soweit erstmal nicht schlimm. Wenn ich jetzt versuche den samaccountname an den logoname anzupassen, kommt eine Fehlermeldung: Der angegebene Account exisitiert bereits. Allerdings finde ich diesen nicht und er scheint auch nicht wirklich vergeben zu sein.

 

Gesucht habe ich via

 

dsquery * forestroot -limit 0 -filter "(&(samaccountname=service))" -attr samaccountname /Q

 

Ausgabe ist NULL.

 

Habe dann einen Export des kompletten ADs gemacht, auch hier kein Account dabei mit dem samaccountname den ich vergeben will.

 

Jemand noch ne Idee?

 

Umgebung: Domäne ohne Subdomains, 2 W2k8 DCs, keine Fehler / Auffälligkeiten im Eventlog

 

Danke

bearbeitet 6. Dezember 2012 von alpino
W2k3-> W2k8

[NilsK 2.921]

Moin,

 

gibt es evtl. ein gelöschtes Objekt (Tombstone) mit diesem Namen?

 

Gruß, Nils

[alpino 10]

Hallo Mark,

 

danke für den Tip.

 

Habe nun mit LDP gesucht wie in Searching for Deleted Objects beschrieben.

 

Es werden auch ein paar Objekte angezeigt, aber nichts mit dem Namen den ich suche. Woher weiss ich denn jetzt ob das von mir gesuchte dabei ist? Die Ausgabe ist folgendermassen: (Beispiele)

 

***Searching...

ldap_search_ext_s(ld, "dc=DOMAENE,dc=de", 2, "(isDeleted=*)"), attrList, 0, svrCtrls, ClntCtrls, 60, 1000 ,&msg)

Getting 40 entries:

 

 

Dn: CN=User\0ADEL:e2acf496-62a0-4b7c-b4b4-2cf20c059b43,CN=Deleted Objects,DC=DOMAENE,DC=de

objectClass (2): top; container;

 

Dn: CN=******\, *******\0ADEL:7eea3b85-e4f5-44dc-b1cb-f7a037be883f,CN=Deleted Objects,DC=domaene,DC=de

objectClass (4): top; person; organizationalPerson; user;

 

SamAccountName wird ja nur für Benutzeraccounts vergeben oder, also ObjectClass (4)?

 

Wenn dann da nichts dabei ist?

 

Die Tombstonelifetime ist bei uns nicht gesetzt(not set). Laut Determine the tombstone lifetime for the forest ist sie dann 60 Tage. Ich bin mir ziemlich sicher, dass wir innerhalb der letzten 60 Tage keinen Benutzeraccount mit dem gesuchten SamAccountName vergeben bzw. gelöscht haben.

 

Danke

[blub 115]

Hallo,

 

Hast du auf beiden DCs gesucht? Evtl. wird das Objekt nicht repliziert

 

blub

[alpino 10]

Hallo zusammen,

 

habe gerade was entdeckt. Laut "Computer <name> is already in use" error message when you add user names in Windows 2000 or Windows Server 2003 gab es in Windows 2000 Bzw. 2003 sogenannte "Restricted User Names".

 

Restricted User Names

 

Null SID

Everyone

Local

Creator owner

Creator group

NT pseudo domain

NT authority

Dialup

Network

Batch

Interactive

Service

Builtin

System

Anonymous Logon

Creator owner server

Creator group server

Enterprise domain controllers

Self

Authenticated Users

Restricted

Terminal server user

Proxy

 

Wenn man einen davon für einen Benutzeraccount verwenden will, erscheint eine Meldung, dass das nicht geht, da das Objekt bereits in Benutzung ist.

 

Der Account um den es die ganze Zeit geht hat als Logonname "service". Als Logonname Pre-Windows 2000) "service_abcd". Beim Versuch diesen auch "service" zu ändern, erhielt ich die Meldung, dass das Objekt bereits vorhanden ist. Daraufhin habe ich gesucht und diesen Thread eröffnet. Jetzt weiss ich auch warum es nicht geht, siehe oben.

 

Irgendwie hat also vor Jahren einer meiner Vorgänger das Problem umschifft, in dem er den Logonname Pre-Windows2000 abweichend gewählt hat. Vielleicht ist es auch eine NT4 migrierte Domäne in der die Vergabe noch möglich war.

Die Domäne hat zwar W2k8 DCs, läuft noch im Windows 2000 Modus. Eine Umstellung ist auch gar nicht so einfach möglich aufgrund von Legacy Software.

 

Die Frage ist ausserdem, ob das Hochziehen des Domänenmodus was an der Verwendung der Restricted Names ändert. Das probiere ich vielleicht später mal in einer Testdomäne aus.

 

Danke für eure Hilfe.

 

Gruss

[NorbertFe 2.016]

Wie kann man nur einen Serviceaccount Service nennen? Was soll denn der nächste Serviceaccount dann werden? ;)

 

Bye

Norbert

[NilsK 2.921]

Moin,

 

na, auf jeden Fall danke für die Rückmeldung! :)

 

Gruß, Nils

PS. Norbert - einer meiner Kunden hat einen Account namens "cluster" ...

[NorbertFe 2.016]

:) Der ist ja auch nicht verboten. ;) Und Cluster waren bis vor wenigen Jahren bei vielen Kunden auch ein relativ oft nur eine Singularität. ;)

[alpino 10]

Wie kann man nur einen Serviceaccount Service nennen? Was soll denn der nächste Serviceaccount dann werden? ;)

 

Bye

Norbert

 

So abwegig ist das gar nicht. Weisst Du wie viele Dienstleister eine Mailadresse mit service@.... haben? Dann liegt es doch nahe, dass man dafür den Windowsaccount auch so nennt :-)

 

Sei es drum.

 

Grüsse

[NorbertFe 2.016]

Service als Support wäre jetzt eindeutig. Service als Windows Service eben nicht! ;)

[NilsK 2.921]

Moin,

 

So abwegig ist das gar nicht.

 

das ist völlig korrekt - wir hatten die Reservierung hier ja auch alle nicht auf dem Schirm. In sofern gut, dass du noch mal drauf hingewiesen hast.

 

Gruß, Nils

[NilsK 2.921]

Moin,

 

Die Domäne hat zwar W2k8 DCs, läuft noch im Windows 2000 Modus.

 

das ist jetzt sehr interessant. Ich war über diese Angaben gestolpert und habe mal in Windows 2012 nachgesehen - ich war nämlich der Meinung, dass diese Namen immer noch reserviert sind.

 

Anscheinend hat sich da aber was geändert. Einen AD-Account namens "service" akzeptiert Windows 2012, "dialup" (steht auch in der Liste) hingegen nicht.

 

Das hat mich zum Testen animiert. Also, in Windows 2012 (und in Windows 2008 R2) ist die Lage folgende:

 

Nicht akzeptiert werden

Null SID

Dialup

Batch

System

Proxy

 

"Enterprise Domain Controllers" kann ich per "net user" nicht anlegen, weil der Name zu lang ist, auch das ADUC-GUI lässt das nicht zu. Da das Attribut selbst eigentlich nicht beschränkt ist, müsste es per ADSI trotz der Länge gehen, dazu hab ich aber gerade keine Lust.

 

Alle anderen Namen aus der Liste akzeptiert Windows 2012 (2008 R2 auch).

 

Sieht aus wie ein FAQ-Artikel. ;)

 

Gruß, Nils

bearbeitet 7. Dezember 2012 von NilsK
2008 R2 ergänzt. ;)

[Doso 77]

Wir haben das Problem manchmal mit UserPrincipalNamen ("Neuer Anmeldename"). Daher habe ich ein Powershell Skript das mir das durchschaut und eine infomail schickt das ich das manuell korrigieren kann. Sollte man für SAMaccountname Suche einfach ändern können. Laufzeit bei 60.000 Nutzern irgendwo bei 15 Minuten.

 

-------

 

 

#Sucht nach doppelten UserPrincipalName und versendet E-Mail wenn vorhanden

#Inhalt der Mail: SAMAccountName (MWN-ID) und ob Account Enabled ist

#Wenn einmal Enabled $true und einmal Enabled $false kann man davon ausgehen das #man den Account mit $false löschen kann

 

#CW 09.02.2012

#Neue Version mit Befehlen von Microsoft - sollte schneller sein als QAD-Befehle

 

#Initialisierung

Import-Module ActiveDirectory

$Empfaenger = "e-mail@ub.uni-muenchen.de"

$OU = "OU=ADOU,DC=domain,DC=domain,DC=domain,DC=de"

 

#Daten holen, Gruppieren, abzählen und wenn Zählung >1 Datei mit Inhalt erstellen#

Write-Host "Hole Daten und sortiere diese - Bitte Warten"

get-aduser -filter * -SearchBase $OU |

group UserPrincipalName |

?{$_.count -gt 1 -and $_.userprincipalName -ne ''} |

%{$_.userprincipalname;'-'*$_.userprincipalname.length;$_.group | %{"$($_.SAMACCOUNTNAME, $_.Enabled)"};''} > $env:TEMP\doubles.txt

 

#Pruefen ob Datei leer

$length = (get-childitem $env:TEMP\doubles.txt).Length

 

#InfoMail versenden

if ( $length -eq 0 )

{

Write-Host -ForegroundColor Green "Tempdatei leer - keine doppelten UPN vorhanden"

}

else

{

Write-Host -ForegroundColor Green "Versende E-Mail an $Empfaenger"

Send-MailMessage -To $empfaenger -From Serverraum@ub.uni-muenchen.de -SmtpServer mail.ub.uni-muenchen.de -Subject "Doppelte Anmeldename Public" -Body (import-csv -delimiter " " -header SAM, Enabled $env:temp\doubles.txt | Out-String)

}