Server 2022 - Wie Vor- und Nachname doppelt vergeben?

[Cryer 17]

Ich habe zwei Kollegen mit gleichem Vor- und Nachnamen.

 

Wenn ich nun den zweiten Kollegen anlegen will, bekomme ich die Fehlermeldung, dass der Name bereits vergeben ist, obwohl ich einen anderen Benutzernamen vergeben habe. Der Server stört sich wirklich daran, dass die Inhalte der Felder Vorname und Nachname in Kombination bereits existieren.

 

Was kann ich machen?

[BOfH_666 577]

vor 12 Minuten schrieb Cryer:

bekomme ich die Fehlermeldung

Zeig ma!  

 

Ne, ma im Ernst ... da wäre ein bissl Kontext sehr hilfreich.  Geht es um lokale Accounts oder Domain-Accounts? Willst Du die über die GUI anlegen oder auf der Kommandozeile? Und wie genau lautet die Fehlermeldung?

[Sunny61 806]

Der UPN, samAccountName, DisplayName, distinguishedname, cn und name prüfen. Schau mal in diesem Beispiel die Felder an: http://www.selfadsi.de/user-attributes-w2k8.htm

Ansonsten wie @BOfH_666 schon schrub, Details liefern.

[cj_berlin 1.313]

Moin,

 

nein, es geht mit Sicherheit nicht um die Felder "Vorname" und "Nachname", auch nicht um den Anzeigenamen. 

 

 

Falls es um Domänen-Accounts geht, dürfen zwei Objekte in der gleichen OU nicht den gleichen Common Name haben (meist identisch mit DisplayName, aber es sind zwei unterschiedliche Attribute). Ansonsten, UPN und SamAccountname, ersterer ist per Forest eindeutig, zweiterer per Domain.

bearbeitet 6. März von cj_berlin

[Cryer 17]

Es geht um Benutzer im Active Directory.

Anbei ein Screenshot die Fehlermeldung.

 

 

Fehlermeldung beim Anlegen eines neuen Benutzers mit Vorname "Test" und Nachname "Test"

Benutzername wurde aber kurzerhand auf "test2" geändert.

Zitat

---------------------------
Active Directory-Domänendienste
---------------------------
Das Objekt für den neuen Benutzer konnte nicht erstellt werden, da der Name Test Test bereits verwendet wird.

Wählen Sie einen anderen Namen, und wiederholen Sie den Vorgang.
---------------------------
OK   
---------------------------

 

Das mit dem CN-Name stimmt, sehe ich im ADSI-Editor.

CN=Test Test,OU=User,OU=*****,OU=*****,DC=*****,DC=local

Kann man das CN-Attribut irgendwie ändern, dass dies beispielsweise der Benutzername ist? Noch hätte ich unkompliziert die Möglichkeit das zu ändern, weil ich den Server gerade ohnehin neu einrichte.

 

Ich meine es wird doch öfters vorkommen, dass zwei oder mehr Namensvettern in einem Unternehmen sind?

bearbeitet 6. März von Cryer

[daabm 1.354]

Hat @cj_berlin doch oben schon alles geschrieben... In der gleichen OU muß der CN eindeutig sein. Und die Fehlermeldung war schon klar. Unklar ist, was genau Du machst, um den Benutzer anzulegen.

[Cryer 17]

Naja, ich will den Benutzer neu anlegen, so wie man das eben macht.

OU auswählen -> Rechtsklick -> Neu -> Benutzer -> Felder ausfüllen

 

Oder war die Frage auf was anderes bezogen?

Hat Microsoft den Fall nicht bedacht, dass auch zwei Leute in der gleichen Abteilung einen gleichen Namen haben können?

Wieso ist CN nicht der Benutzername, der ja wirklich eindeutig ist? Kann man das echt nicht ändern?

[daabm 1.354]

Deine Beschreibung hakt schon bei "OU auswählen" - dsa.msc, ADAC, sonstige Oberfläche? Den Screenshot deiner Fehlermeldung kann ich nicht zuordnen.

[Cryer 17]

Ich mache das über "Active Directory-Benutzer und -Computer"

Meintest du das? Spielt das eine Rolle bei der Benutzerstellung?

[cj_berlin 1.313]

Dein Problem ist. vermute ich jetzt mal, dass die bordeigenen Tools aus Vor- und Nachnamen einen "Full Name" zusammenfügen, diesen dann aber stillschweigend in *zwei* Attribute schreiben: name (CN) und displayName. DisplayName wäre ja völlig OK, das kann mehrfach vergeben sein, auch innerhalb einer OU, aber der CN halt nicht.

 

Lösungsansätze: 

 

1. wenn die Fehlermeldung kommt, ergänze den Full Name um irgendwelche Zeichen, lege damit den Benutzer an und benenne anschließend den Display Name richtig um.
2. lege alle neuen User in einer separaten OU an und verschiebe sie anschließend. Wird das Verschieben verweigert, bennene den CN durch Ergänzung um irgendwelche Zeichen.
3. lege für Namensvetter eine Unter-OU Deiner User-OU an
4. Benutze NICHT die GUI-Tools, sondern PowerShell für die Benutzeranlage, dann kannst Du gleich zuerst abfragen, ob es den User schon gibt und dann entsprechend CN und DisplayName explizit mit unterschiedlichen Werten füllen, und auch den sAMAccountName und den UPN nach einer Vorschrift gestalten.

 

vor 3 Stunden schrieb Cryer:

Ich meine es wird doch öfters vorkommen, dass zwei oder mehr Namensvettern in einem Unternehmen sind?

 

In einer prominenten öffentlichen Behörde hat man vor ca. 11 Jahren einen neuen Pressesprecher eingestellt, der aber so einen Allerweltsnamen hatte. Und man hat seine *angenommene* e-Mail-Adresse bereits im Anzeigeblatt veröffentlicht, *bevor* er durch den Onboarding-Workflow gelaufen ist und festgestellt wurde, dass es einen Beamten mit diesem Namen und dieser Mail-Adresse dort bereits seit Jahren gibt. Den Rest der Geschichte gibt es allerdings nur mündlich  

[Cryer 17]

Puuuh, hätte nicht erwartet, dass in der heutigen Zeit ein solches (im Grunde banales) Problem, technisch so umständlich und undurchdacht gelöst werden muss, nur weil Microsoft als CN nicht den Benutzernamen nimmt, was das Problem elegant lösen würde. Auch irgendwie "witzig", dass selbt unter Server 2022 nur die Spalte "Anmeldename für Prä-Windows 2000" im Active Directory-Benutzer und -Computer existiert und nicht auch noch eine Spalte mit dem normalen Benutzername test@ad.local Microsoft wird seine Altlasten einfach nicht los

bearbeitet 6. März von Cryer

[cj_berlin 1.313]

Klar, Microsoft ist schuld.

 

Ich weiß nicht, woher Du Deine Erkenntnisse beziehst, bei mir kann ich auch noch unter Server 2008R2 die Spalte "User Logon Name" einblenden, die den UPN enthält. 

vor 5 Minuten schrieb Cryer:

nur weil Microsoft als CN nicht den Benutzernamen nimmt, was das Problem elegant lösen würde

Das AD macht hier keine Vorgaben, Du kannst per LDAP oder PowerShell den CN auf jeden beliebigen Wert setzen, der die Eindeutigkeit des DN gewährleistet. Dass die MMC-Tools nicht das Gelbe vom Ei sind, war auch schon 1999 klar.

[Cryer 17]

Stimmt (Sollte aber Standardmäßig eingeblednet sein)

 

Aber ja, anlegen und hinterher Vorname und Nchname, sowie Anzeigename ändern geht. Das betrifft dann den CN nicht mehr und klappt auch in der gleichen OU.

Trotzdem doof, dass das nicht automatisch klappt.

[NilsK 2.934]

Moin,

 

ist ja auch alles kein Problem, mit Microsoft hat man ja einen Universalschuldigen.

 

Gruß, Nils

 

[magheinz 110]

Einfach per powershell anlegen.

Bei uns ist dann auch vorgegeben cn = samaccountname und upn + Mail =samaccountname@domain

 

Der cn mir Leerzeichen drinn ist nervig, sobald man mal über dem Tellerand der GUI hinausschaut, deswegen schließen wir das aus.