Ada*_*dam 2 windows active-directory domain
我们在域 USER-2014 上命名了一台新计算机。该计算机适用于已经在名为 USER 的域中拥有一台计算机的人。我们停止使用名为 USER 的旧计算机,现在希望将 USER-2014 重命名为 USER。当我尝试重命名时,我收到一条消息“尝试将计算机重命名为 'USER' 时发生以下错误:该帐户已存在。” 这是有道理的,因为活动目录中有一台名为 USER 的计算机。
可以从活动目录中删除名为 USER 的计算机吗?我认为这将允许我将 USER-2014 重命名回 USER。我担心 Windows 生态系统中的某些内容仍在引用它,并且通过删除它会在某处出现会导致问题的悬空引用。如果我可以将 USER 重命名为 USER-OLD ,这也可以解决我的问题,但我在活动目录中找不到重命名功能。
这里的最佳实践或合理的建议是什么?任何事情都将不胜感激。我对网络管理很陌生。
您在这里涵盖了许多要点,我将尝试依次解决每一点。
可以从活动目录中删除名为 USER 的计算机吗?
这取决于。如果旧电脑已经走了,永远不会回来,那么可能。请记住,一旦您删除它(或 AD 中的任何对象),就无法仅通过重新创建具有相同名称的新对象来恢复它。每个对象都有一个与之关联的唯一的安全标识符(SID),它是这个SID上的ACL,组成员等分配权限时使用只是因为置换对象具有相同的名称并不会意味着它将会继承相同的权限.
也就是说,对于标准加入域的工作站来说,它的影响可能很小。如果这是用户或组对象,我会更担心。
悬空参考
如果您在任何 ACL、组等中引用了旧计算机帐户,那么一旦它被删除,您会发现这些引用仅引用 SID 而不是原始计算机名称。如果您遇到任何仅显示 SID 的引用,那么很可能这就是原因(尽管不是唯一原因,因此请注意!)
电脑帐号重命名
您不能直接从 Active Directory 用户和计算机管理单元重命名计算机帐户。重命名计算机帐户的正确方法是在客户端执行此操作。您应该使用具有修改 AD 中计算机对象的完全访问权限的用户帐户(例如,域管理员或已委派相关权限的备用帐户)登录到客户端。
如果您尝试直接从 Active Directory 中重命名对象,那么您下次尝试使用计算机时将遇到信任关系问题。
最佳实践
这部分只是我的观点,其他人可能会有不同的看法。
我永远不会使用与人相关的名称命名计算机对象(例如,John Smith 不应该拥有名为 johnsPC 的计算机)。而是提出一个您可以在整个组织中使用的合理资产命名约定(例如 corppc123)。然后,当计算机资产退役和更换时,您不必担心将新对象重命名为与旧对象相同;你只需更换它并继续前进。
无论您如何命名和替换您的计算机,您都需要确保使组成员身份等项目保持最新(例如 WSUS 组、SCCM 组等)。还要考虑任何按名称引用计算机的脚本,这些脚本需要更新(或者更好的是,更改以便它们不直接引用 PC 对象)。然而,这有点超出了这个问题的范围!