none
Anmeldename umbenennen vs neuen User anlegen? RRS feed

  • Frage

  • Hallo zusammen,

    mein Chef kam neulich mit der Anforderung, für eine unserer Abteilungen die Anmeldenamen für alle Anlaufstellen (AD, ERP-System, usw.) zu vereinheitlichen und mit der Anforderung in diesem Zuge allen Kollegen einen neuen User zu erstellen, bei denen der Anmeldename nicht seinen Vorstellungen entspricht.

    Zur Info:

    - wir verwenden keine Roaming Profiles.

    - Gesamtstruktur und Funktionsebene sind 2008 R2 und Windows 7/10 Clients

    - Exchange 2013

    Da es sich um etwa 250 User handelt und die meisten von denen ein neuen User bräuchten habe ich folgende Grundsätzfrage:

    Anmeldename umbenennen vs neuen User anlegen

    Ich habe sehr oft gehört/gelesen "benenne bloß nicht den Anmeldename um, das kann zu Problemen führen". Nach längerer Recherche konnte ich aber außer der genannten Aussage nur ein etwas seltsames Problem in Verbindung mit einem Terminalserver finden. Da wir auch kein TS verwenden, stellt sich mir nun die Frage, welche Probleme können auftreten? Die Alternative wäre nämlich 250 User zu kopieren, damit die Gruppenmitgliedschaften bestehen bleiben, Daten sichern und ins neue Profil übernehmen, das Postfach an den neuen User anhängen und den alten User zu deaktivieren.

    Hat mir hier zu jemand eine Empfehlung, wie man am besten vorgehen sollte oder vielleicht sogar ein best practice von Microsoft?

    Viele Grüße

    Marcus

    Donnerstag, 16. November 2017 08:09

Antworten

  • I.d.R. besteht das Problem, dass der Anmeldename ebenso auf einen Pfad der Festplatte verweist, in dem Eigene Dokumente usw. abgelegt sind.
    Man kann den Namen natürlich ändern, so lange man an den Pfaden nicht dreht.
    Ein Problem kann dann noch in der Berechtigungsstruktur ins besonders der Eignerschaft eines Objektes liegen.
    Bleibt letztlich mal mit 1 (Test)User auszuprobieren, welche Konsequenzen dies so alles nach sich zieht (bis hin zur Mailadresse).
    Donnerstag, 16. November 2017 09:04
  • Moin,

    Microsoft gibt schon lange keine Best Practices für AD mehr heraus, die wirklich so betitelt sind. Meine persönliche Meinung ist, dass eine Identität (und die ist im AD durch SID und GUID, nicht durch sAMAccountName und UserPrincipalName definiert) durch ihren ganzen Lebenszyklus hindurch bestehen bleiben sollte, selbst wenn sich wichtige Zuordnungsmerkmale wie Anmeldename ändern.

    Es gibt sicherlich Herausforderungen (Ordnerumleitung ohne Profilmanagement, Umbenennung von lokalen und servergespeicherten Profilen, Applikationen, die eine interne Benutzerverwaltung betreiben, den Anmeldenamen jedoch aus der Windows-Sitzung ziehen usw.), aber aus Sicht des Identity Managements ist die Umbenennung des sAMAccountName der sauberere Weg.

    Was Exchange angeht, so müsst ihr bei Umbenennungen sicherstellen, dass der Alias einer Mailbox nicht plötzlich mit dem sAMAccountName einer anderen Mailbox identisch ist.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Donnerstag, 16. November 2017 09:06

Alle Antworten

  • I.d.R. besteht das Problem, dass der Anmeldename ebenso auf einen Pfad der Festplatte verweist, in dem Eigene Dokumente usw. abgelegt sind.
    Man kann den Namen natürlich ändern, so lange man an den Pfaden nicht dreht.
    Ein Problem kann dann noch in der Berechtigungsstruktur ins besonders der Eignerschaft eines Objektes liegen.
    Bleibt letztlich mal mit 1 (Test)User auszuprobieren, welche Konsequenzen dies so alles nach sich zieht (bis hin zur Mailadresse).
    Donnerstag, 16. November 2017 09:04
  • Moin,

    Microsoft gibt schon lange keine Best Practices für AD mehr heraus, die wirklich so betitelt sind. Meine persönliche Meinung ist, dass eine Identität (und die ist im AD durch SID und GUID, nicht durch sAMAccountName und UserPrincipalName definiert) durch ihren ganzen Lebenszyklus hindurch bestehen bleiben sollte, selbst wenn sich wichtige Zuordnungsmerkmale wie Anmeldename ändern.

    Es gibt sicherlich Herausforderungen (Ordnerumleitung ohne Profilmanagement, Umbenennung von lokalen und servergespeicherten Profilen, Applikationen, die eine interne Benutzerverwaltung betreiben, den Anmeldenamen jedoch aus der Windows-Sitzung ziehen usw.), aber aus Sicht des Identity Managements ist die Umbenennung des sAMAccountName der sauberere Weg.

    Was Exchange angeht, so müsst ihr bei Umbenennungen sicherstellen, dass der Alias einer Mailbox nicht plötzlich mit dem sAMAccountName einer anderen Mailbox identisch ist.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Donnerstag, 16. November 2017 09:06
  • Ok danke an euch beiden.

    Viele Grüße

    Marcus

    Donnerstag, 16. November 2017 12:29