SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Active Directory に同姓同名のユーザーを登録しようとしたときの注意点

leave a comment

今回も軽めの投稿を。

Active Directory でユーザーを作成する場合、GUI から登録することが多いかと思います。
# 人数が多い会社さんですと ID 管理システムやバッチで登録することもあるかと思いますが。

[Active Directory ユーザーとコンピューター] で同一 OU 内に同姓同名のユーザーを登録しようとした場合、注意が必要となります。

 

■同姓同名のユーザーを同一の OU に登録しようとした場合の挙動

このようなユーザーが [TEST2] という OUに登録されています。
image

同じ [TEST2] という OU に [TEST00002] というログオン名で同姓同名のユーザーを作成してみます。
image

同姓同名のユーザーを同一 OU 内に作成しようとすると以下のエラーとなります。
image

ユーザーを作成する際、入力した内容が以下のように属性に設定されます。

入力内容 属性 設定値
sn 山田
givenName 一郎
イニシャル initials 今回はブランク
フル ネーム
# デフォルトは [姓 名]
cn
displayName
name
distinguishedName   (*)
山田 一郎
山田 一郎
山田 一郎
CN=山田 一郎,OU=TEST2,DC=2008-domain,DC=local
ユーザーログオン名 userPrincipalName   (*) TEST00001@2008-domain.local
ユーザー ログオン名 (Windows 2000 より前) sAMAccountName    (*) TEST00001

[userPrincipalName][sAMAccountName] は重複できないですが、その他に、[distinguishedName] も重複することができません。
# (*) がついている項目が重複できません。

同一 OU 内に同一の [フル ネーム] のユーザーを作成しようとするると、[distinguishedName] が重複してしまいエラーとなります。

■同姓同名のユーザーを同一の OU を登録する方法

結論から最初に書いてしまいますと [同一のフル ネームのユーザーは登録できませんが、表示名が同一のユーザー] は登録することができます。

同姓同名の表示名のユーザーを同一の OU 内に登録する場合は、一度 [フル ネームを別の名前] に設定します。image

そうすると以下のようにユーザーが登録されます。
image 

対象のユーザーを右クリックして、[名前の変更] をクリックします。
image

名前の変更ができるようになりますので、修正します。
image

一文字でも文字を修正すると以下のダイアログボックスが表示されます。
名前の変更で変更した内容は [フル ネーム] に反映されます。
image

フル ネームを変更して [OK] をクリックするとこのようなエラーが。
image

名前の変更で入力できる項目は以下のように属性に反映されます。

入力内容 属性 設定値
フル ネーム cn
name
distinguishedName   (*)
山田 一郎
山田 一郎
CN=山田 一郎,OU=TEST2,DC=2008-domain,DC=local
sn 山田
givenName 一郎
表示名 displayName 山田 一郎_2
ユーザーログオン名 userPrincipalName   (*) TEST00002@2008-domain.local
ユーザー ログオン名 (Windows 2000 より前) sAMAccountName    (*) TEST00002

名前の変更で変更ができるフル ネームは [distinguishedName] に設定されますので、重複してしまってエラーとなります。
名前の変更から表示名を変更することはできますので、このような変更であれば設定可能です。
image

GUI から作成した場合、フル ネームがデフォルトで [姓 + 名]  が設定されるのでそのまま作成してしまうケースが
あるかもしれませんが、OU 内に同姓同名のユーザーが作られる可能性がある場合は、作成の段階でフルネームを一意に
設定するようにしておいた方が良いかと思います。
# 同姓同名の社員が同じ部署に配属されないように人事的な考慮はされると思いますので、拠点や部門で OU を分けている場合
  それほど発生しないとは思いますが。

今回だとこのような形式でしょうか。
# ユーザー作成時にフルネームを [TEST00002] に設定して、名前の変更で表示名を変更しています。
image 

上記のような設定でユーザー情報を設定しているとこのような形でユーザーを登録することが可能です。
image

OU が異なれば同一のフルネームのユーザーを登録することが可能です。
[cn] [name] は他の OU のユーザーと同一ですが、OU が異なっているため、[distinguishedName] が変わりますので。
# ログオン名は一意にならないと駄目ですが。
image 
image

項目 TEST00001 TEST00002 TEST00003
cn TEST00001 TEST00002 TEST00001
name TEST00001 TEST00002 TEST00001
distinguishedName   CN=TEST00001,
OU=TEST2,
DC=2008-domain,
DC=local
CN=TEST00002,
OU=TEST2,
DC=2008-domain,
DC=local
CN=TEST00001,
OU=TEST3,
DC=2008-domain,
DC=local
sn 山田 山田 山田
givenName 一郎 一郎 一郎
displayName 山田 一郎 山田 一郎 山田 一郎
userPrincipalName TEST00001@2008-domain.local TEST00002@2008-domain.local TEST00003@2008-domain.local
sAMAccountName TEST00001 TEST00002 TEST00003

 

専任の管理者がいない会社さんだと初期の Users の下にユーザーを作っていってしまうことがあるかと思いますので、
その時には注意が必要そうですね。

Written by masayuki.ozawa

8月 7th, 2010 at 1:57 pm

Posted in Active Directory

Leave a Reply

*