在创建和更新时验证 Active Directory 字段
有没有办法验证 Active Directory 中的某些字段?例如,我们是否可以在 AD 中设置一些内容,以便在创建帐户之前必须完成用户的电话号码或其他字段/属性。我想知道我们是否可以将其作为 AD 架构的一部分来执行。我在一个大型组织中,不能强迫每个人都使用相同的工具来创建帐户(否则我可以构建一个帐户创建/修改工具并从应用程序中进行验证。)。
这实际上是一个很好的问题。这是“普通”数据库的一个关键特性,称为约束。没有约束,确保数据库的完整性、准确性和质量更加困难和耗时。
某些属性已经以这种方式配置。例如,samAccountName 必须存在,并且在域中是唯一的。
我建议不要将系统属性从可选更改为强制,除非您对自己的 Active Directory 体验级别非常满意,并且在非生产环境中对此进行了全面测试。
另一种可能是计划任务,该任务扫描对象中需要符合性的字段,并执行正则表达式以确定它们是否符合,并将其保存为报告以分发给需要进行任何更正的团队。
如果您对架构详细信息和必需属性感兴趣,以下内容可能会有所帮助:
Active Directory 架构的工作
原理 http://technet.microsoft.com/en-us/library/cc773309%28v=ws.10%29.aspx
修改现有架构类或属性定义
http://technet.microsoft.com/en-us/library/cc757799%28v=ws.10%29.aspx
了解 Active Directory 中的唯一属性
https://blogs.msdn.com/b/openspecification/archive/2009/07/10/understanding-unique-attributes-in-active-directory.aspx
安装 Active Directory 架构管理单元
http://technet.microsoft.com/en-us/library/cc755885%28v=ws.10%29.aspx
