none
Límite de 20 caracteres en samaccount, es obligatorio RRS feed

  • Pregunta

  • Hola,

    Tengo un problema al crear un AD DS con 140.000 usuarios, en un windows server 2008 o un 2012 (r2). He visto que el campo samaccount (pre-windows 2000 login) es obligatorio. Al hacer la importación de usuarios (lo hago desde un exportación de un ldap) me coinciden cantidad de nombres y como se han de cortar tengo problemas.

    ¿No se podría obviar este campo? Si es pre-windows 2000 ¿por qué me obliga a ponerlo? Esto provoca que cualquier usuario tendrá que tener 2 identidades para hacer login la UPN (nombreusuario@dominio) que es la que necesito y la samaccount que aquí tendré que poner algo que no coincida por que no se puede repetir y como mucho puedes poner 20 caracteres.

    Estoy un poco desesperado, he buscado la manera de ampliar el campo samaccount name, pero no lo veo claro. Si se pudiera ampliar este campo modificando el esquema para mi sería la solución, o simplemente desactivándolo?

    ¿Alguien sabe la manera de ampliar o desactivar el campo?

    Muchas gracias!

    jueves, 29 de octubre de 2015 8:59

Respuestas

  • Hola,

    Ok, muchas gracias de nuevo...

    Al final lo he medio resuelto como te he comentado, aunque no me acaba de gustar, pero no veo otra opción.

    Saludos,

    • Marcado como respuesta Moderador M viernes, 30 de octubre de 2015 21:41
    viernes, 30 de octubre de 2015 7:34

Todas las respuestas

  • Hola LuisR, el campo SamAccount como bien haz dicho es un "Requerido", no hay forma de crear un usuario sin definirle ese campo

    Además es uno de los atributos de Sistema, por lo que entiendo ya por eso no se puede modificar

    Y además, al ser un atributo requerido, no puede ser modificado. El problema es que si se permitiera modificar un atributo requerido y usado, se podría hacer que objetos queden como inválidos. O sea, no hay forma de modificar ese campo

    Respecto a reglas de unicidad:

    - El SamAccountName debe ser único en el Dominio

    - El UPN debe ser único en el Bosque

    - El "FullName" debe ser único en la OU

    A mi entender, y es algo personal, es un cambio de orientación que hizo Microsoft, si te fijas en las demos que hace el propio personal de Microsoft, ellos no usan usuario@dominio.suf y usan "Dom\Usuario"

    Normalmente coincide la parte de nombre SamAccountName y FQDN, aunque podría no coincidir. E inclusive como el FQDN no es un campo requerido, puede estar en blanco, y toma el nombre de del SamAccontName

    Resumiendo, pienso que lo que tendrás que hacer es importar a una OU transitoria, renombrar, y luego mover a la ubicación definitiva, no se me ocurre ahora otra idea :(

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    jueves, 29 de octubre de 2015 12:02
    Moderador
  • Hola,

    Muchas gracias por la respuesta, he hecho bastantes búsquedas y ya esperaba algo así. Hasta ahora si que cortaba los nombres o renombraba porque eran dominios de menos usuarios 1000-2000. Pero en el caso que me ocupa ahora es un "arreglo" y he de importar los nombres de usuario de un LDAP (CN), de momento lo he arreglado importando otro campo que es alfanumérico, aunque también he tenido algún problema porque tiene un carácter no permitido '/' que arreglare sustituyéndolo por un '-'.

    De todos modos veo un poco feo que sea obligatorio tener que poner 2 identidades. Que claro puede ser una, pero es solo si tiene menos de 20 caracteres. Aunque sea por compatibilidad, creo que eso de pre-windows 2000 está más que superado desde hace bastantes años.

    Si hubiera manera de modificar el esquema para aumentar los caracteres o quitar el campo lo hubiera hecho. Este dominio no lo utilizo de la manera “usual”, únicamente lo necesito para compartir un recurso, en este caso una cola de impresión. No tengo más bosques, no aplico políticas, etc etc. Meramente es para validar que los usuarios puedan acceder a ese recurso compartido y necesito que tengan el mismo nombre que tienen en un LDAP….

    Gracias de nuevo

    jueves, 29 de octubre de 2015 19:22
  • La única identidad obligatoria, es el SamAccountName, como te comentaba el UPN no es necescario que esté presente

    Es algo raro la persistencia, o mejor dicho algo complicado de sacar. En el uso de Dominio\Usuario en realidad "Dominio" es el nombre NetBIOS del Dominio, pero desde W2000 se puede deshabilitar NetBIOS sobre TCP/IP y sin embargo sigue funcionando esa forma de identificar usuarios

    El tema de la compatibilidad, y más que la compatibilidad, el problema es ir permitiendo "desde siempre" las actualizaciones "in place"

    Se vienen arrastrando grupos que no se usan desde NT4, como Replicator, grupos con excesivos privilegios, etc. Pienso que Microsoft haría bien para que en alguna versión se pudiera "terminar" con todo lo anterior :)

    El esquema es *ampliable* y cuidado, que no es lo miso que*editable*. Se puede agregar, pero no borrar, a lo sumo deshabilitar. Y el motivo de no poder modificar los atributos marcados como requeridos es por lo que comentaba antes

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 29 de octubre de 2015 21:16
    Moderador
  • Hola,

    Ok, muchas gracias de nuevo...

    Al final lo he medio resuelto como te he comentado, aunque no me acaba de gustar, pero no veo otra opción.

    Saludos,

    • Marcado como respuesta Moderador M viernes, 30 de octubre de 2015 21:41
    viernes, 30 de octubre de 2015 7:34
  • Me alegro le hayas encontrado la forma, quizás no sea la solución óptima, pero si lo haz logrado eso es lo importante :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 30 de octubre de 2015 9:39
    Moderador