W tym artykule przyjrzę się niektórym z najczęściej używanych konwencji nazewnictwa przy tworzeniu kont użytkowników Windows Active Directory. Każde konto użytkownika będzie musiało być unikalne, więc zastosowanie konwencji nazewnictwa ułatwi pracę administratora.
Nie ma jednej najlepszej konwencji nazewnictwa, zależy to od wielkości i wymagań Twojej organizacji. Najpierw przyjrzyjmy się kilku rzeczom, które musisz wziąć pod uwagę i jakie problemy możesz napotkać podczas korzystania z określonego schematu nazewnictwa.
Rzeczy do rozważenia
- Starsze aplikacje lub systemy komputerowe z limitem 8 znaków
- Bezpieczeństwo
- Jednokrotne logowanie z innymi systemami
W niektórych starszych aplikacjach nazwa użytkownika może zawierać tylko 8 znaków. Jeśli masz takie programy, możesz również ograniczyć swoje konta Active Directory do 8 znaków. Większość programów umożliwia mapowanie nazwy użytkownika na nazwę systemu Windows, która może być inna.
Problem polega na tym, że tworzy inną nazwę logowania, którą użytkownicy będą musieli zapamiętać. Chcemy maksymalnie ułatwić użytkownikom życie. Niektóre z powszechnie używanych konwencji nazewnictwa tworzą łatwe do odgadnięcia nazwy logowania, co wiąże się z bezpieczeństwem.
Ułatwia to spamerom i hakerom odgadnięcie nazwy logowania i adresu e-mail. Ostatnią rzeczą do rozważenia jest to, że aplikacje korzystające z logowania jednokrotnego, tutaj rodzi się pytanie czy wybrany schemat nazewnictwa będzie zgodny z logowaniem jednokrotnym.
Polityka wyjątków
- Zduplikowane nazwy
- Zmiana nazwiska
- Dziwne lub okropne nazwy logowania
Zawsze będą problemy, więc będziesz musiał być elastyczny w stosunku do swoich użytkowników. W przypadku dużych środowisk niektóre z tych metod mogą powodować zduplikowane konta. Będziesz chciał mieć pełną nazwę użytkownika, w tym środek; możesz użyć drugiego imienia, jeśli natrafisz na zduplikowane konta.
Zdarzyło mi się kilka razy, że wciąż natrafiałem na zduplikowane konta, nawet po użyciu środkowego inicjału. Kiedy to nastąpi, po prostu dodajemy numer na końcu konta. W przypadku każdej metody, która używa pełnego nazwiska, prawdopodobnie napotkasz użytkowników, którzy biorą ślub i będą wymagali zmiany nazwy logowania.
W tego typu okolicznościach wymagana będzie dodatkowa praca, w tym zmiana nazwy konta Active Directory i katalogów domowych. Należy również zmienić nazwę adresu e-mail lub dodać nowy alias. Możesz również skończyć z naprawdę złymi nazwami logowania, które użytkownicy proszą o zmianę, jest to rzadkie, ale się zdarza.
Konwencje nazewnictwa
Pełne imię i nazwisko: jest to zdecydowanie najczęściej stosowana konwencja nazewnictwa, której używali inni ludzie. Bierzesz pełne imię użytkowników i łączysz je z pełnym nazwiskiem. Można również dodać myślnik lub kropkę.
Przykład: Dla Jana Kowalskiego nazwą logowania będzie jan.kowalski, jeśli istnieją duplikaty, po prostu dodaj środkowy inicjał jan.a.kowalski.
Ta metoda ma tę zaletę, że tworzy łatwe do zapamiętania nazwy logowania i sprawdza się dobrze w małych i dużych organizacjach. Jedyną wadą tej metody jest możliwość tworzenia długich nazw, które mają ponad 8 znaków.
Inicjał imienia i pełne nazwisko: bierzesz inicjał imienia użytkownika i łączysz go z jego pełnym nazwiskiem. Działa to dobrze w dużych i małych organizacjach i sprawia, że nazwa logowania jest krótsza. W dużych organizacjach będziesz mieć kilka duplikatów. Ta metoda może również tworzyć dziwne nazwy logowania.
Przykład: Dla Jan Kowalski nazwą logowania będzie jkowalski, jeśli istnieją duplikaty, użyj środkowego inicjału jakowalski.
Pierwsze trzy znaki imienia i pierwsze trzy nazwiska: łączy się pierwsze trzy znaki imienia i pierwsze trzy znaki nazwiska.
Przykład:
Nazwa logowania Jan Kowalski to jankow, jeśli duplikaty po prostu dodają środkowy inicjał janakow.
Ta metoda ma tę zaletę, że tworzy krótkie, łatwe do zapamiętania nazwy logowania. Utrzymywałby również nazwę logowania poniżej 8 znaków. Nie widzę większych wad tej metody, poza tym, że może tworzyć zduplikowane nazwy.
Trzy losowe litery i trzy cyfry: Ta nie była powszechnie używana, ale widziałem pewne zalety jej używania. Sprawdziłby się w bardzo dużym środowisku. Unikniesz także powielania nazw i zmiany nazwy kont, jeśli zmieni się nazwisko użytkownika.
Jedyną wadą jest adres e-mail; Nie sądzę, aby użytkownicy chcieli mieć adres e-mail składający się z losowych znaków, ale zawsze możesz dać im inny adres e-mail. Może to również pomóc w zwalczaniu spamu i bezpieczeństwie. Jeśli spamerzy otrzymają listę nazw użytkowników, nie będą mogli odgadnąć ich adresu e-mail.
Przykład: atw235
To, co możesz zrobić, aby ułatwić użytkownikom zapamiętywanie, to użyć pierwszych trzech znaków ich imienia i trzech liczb losowych
Przykład: Dla Jan Kowalski nazwa logowania będzie jan235
Myślenie o konwencji nazewnictwa można łatwo przeoczyć, ale jak widać, jest wiele rzeczy do rozważenia. Czy używasz innej konwencji nazewnictwa? Jeśli tak, podziel się swoją metodą w komentarzach poniżej.
Podsumowanie
Mam nadzieję, że ten wpis będzie przydatny w planowaniu struktury nazewniczej w ActiveDirectory .Warto zapoznać się również z wcześniejszymi wpisami, 15 najlepszych praktyk dotyczących Group Policy Object (GPO), 16 praktyk konfiguracji serwera DHCP, 25 najlepszych praktyk w zakresie bezpieczeństwa Active Directory. Mam nadzieję, że taki zestaw pomoże w codziennej pracy z rozwiązaniami firmy Microsoft i/lub właściwym zapłanowaniem wdrożenia w/w rozwiązań w organizacji.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
Witam.
A jak sobie poradzić z problemem długiej nazwy logowania. Chodzi o sytuację gdy imię i nazwisko mają tyle znaków, że kontroler AD odmawia stworzenia takowego konta. Z tego co sprawdzałem, to nazwa logowania nie może być dłuższa niż 20 znaków.
W nowej domenie można zastosować np. samo nazwisko. W działającej trzeba ciąć. Takich schemat imie.nazwisko jest umowne, nigdzie się tego schematu nie akceptuje, można wprowadzić różne loginy, jeżeli obecna koncepcja jest zbyt krótka. Jeżeli ktoś ma nazwisko podwójne warto przyciąć drugi człon zostawiając tylko pierwsze nazwisko.
Mam takową sytuację, buduje domenę od nowa. W starej domenie jako login była stosowana koncepcja pierwsza litera z imienia potem dwie z nazwiska a następnie separator w postaci . (kropka) a po niej skrót wydziału. Ma to jednak taką wadę, że gdy pracownik zmieniła dział w którym pracuje to jego login nie był tożsamy z miejscem pracy. Co implikuje pewne niezgodności – nie tylko natury estetycznej. Poza tym lubię mieć wszystko poukładane i ponazywane jak należy. Dodanie skrótu wydziału było niezbędne gdyż trzyliterowy login powtarzał się np. Janina Kowalska i Jan Kowalski, czyli jko. W firmie w której pracuję jest kilka osób z takim właśnie ułożeniem liter. Ponadto na przestrzeni kilkunastu lat zmieniły się też niektóre nazwy działów. I tak zrobił się mały bajzel, czyli loginy przestały odzwierciedlać strukturę organizacyjną. To co funkcjonowało i funkcjonuje sprawdzało się ale do czasu. Generalnie wystarczyło użytkownikom powiedzieć mechanizm tworzenia loginów i nie było żadnego problemu – nikt nie zapominał. Teraz gdy konfiguruję nową domenę, wymyśliłem sobie, że lepszym rozwiązaniem było by stworzenie loginu składającego się z pełnego imienia i nazwiska bez skrótu wydziału. Ten klucz tworzenia loginów byłby odporny na wady poprzedniego i łatwy do zapamiętania przez użytkowników. Problem jest jednak taki, że parę osób w tym ja mamy imiona i nazwiska, które przekraczają 20 znaków na które pozwala Windows przy tworzeniu konta AD. Stąd moje pytanie o to jak sobie z tym poradzić.
Próbowałem w Internecie znaleźć informacje na ten temat ale nie udało się. Zastanawia mnie jeszcze jeden fakt z tym związany. Jak wyedytujemy właściwości konta użytkownika AD to tam na zakładce KONTO są dwie pozycje dotyczące nazwy logowania, pierwsza z nich to NAZWA LOGOWANIA UŻYTKOWNIKA a druga to NAZWA LOGOWANIA UŻYTKOWNIKA (SYSTEMY STARSZE NIŻ WINDOWS 2000): Ograniczenie 20 znaków co do loginu użytkownika AD dotyczy systemów starszych niż Windows 2000, w polu powyżej czyli „Nazwa logowania użytkownika” nie ma takowych ograniczeń. Ja wszystkie systemy mam nowsze niż Windows 2000 zatem, w jaki sposób wymusić logowanie do domeny użytkownikiem tym nowszym? Bez ograniczenia loginu do 20 znaków?
OK, a nie można zrobić takiej konfiguracji, jako login zostawić nazwisko i dla kolejnych osób o takim samym nazwisku dobierać kolejne litery imienia (lub drugiego członu nazwiska, jeżeli takie jest) powiedźmy na podstawie stażu pracy? Jak się skończy taka opcja dodać cyfrę na końcu.
Co do ograniczeń dla starszych systemów, skoro ich nie ma po prostu nazwa (login) w pewnym miejscu się urwie (te 20 znaków), dla Windows 10 np. taki login z tego co sprawdziłem przyjmie ponad 20 znaków. Można ewentualnie zrezygnować z drugiego członku nazwiska, jeżeli ktoś ma i podstawowy .
Co do działów można na zakładce Organization dodać informacja o dziale oraz o bezpośrednim przełożonym użytkownika.
To co napisałeś skłoniło mnie do dalszych doświadczeń z długością loginu i logowaniem się.
Stwierdzam, że do W10 da się zalogować loginem dłuższym niż 20 znaków tylko w loginie trzeba dopisać dane domeny czyli:
login.ponad.20.znakow@nazwa-domeny.local
i wtedy da się zalogować.
Teraz pytanie co i gdzie w W10 zmienić, żeby nie trzeba było wpisywać tego co jest po @?
Czyli jak przestawić domyślny tryb logowania.
Tutaj może być problem. Jeżeli loguje się jeden użytkownik na stacji zostanie zapamiętany. Jeżeli zupełnie inny użytkownik chce się zalogować to i tak musi wpisać całość login + @domena. Nie ma pola, które można ustawić zawsze jako nazwę domeny a wpisywać tylko ten długi login.
Skoro są dwie metody logowania i ta pierwsza czyli loginem do max 20 znaków jest zaimplementowana jako domyślna to logika nakazuje sądzić, że jest w systemie operacyjnym Windows np. 10 jakaś wajcha, która umożliwi zmianę tego stanu na taki, żeby domyślnym sposobem logowania była opcja druga, czyli login powyżej 20 znaków, ciekawe czy jest to np gpo czy rejestr
OK, dzięki za podpowiedzi.
Generalnie interesuje mnie rozwiązanie problemu używania loginów do AD o długości znaków większej niż 20. Owszem można pobawić się w wariacje co do sposobu ich tworzenia. Ja chciałbym mieć w całej strukturze jednakowy – jednolity schemat ich tworzenia.
Masz rację, że login może być dłuższy niż 20 znaków w zakładce KONTO pozycja NAZWA LOGOWANIA UŻYTKOWNIKA, a w pozycji NAZWA LOGOWANIA UŻYTKOWNIKA (SYSTEMY STARSZE NIŻ WINDOWS 2000) login taki zostanie obcięty do tych wspomnianych przeze mnie 20 znaków. problem jednak w tym, że logując się z klienta np. W10 będziemy mogli zalogować się tylko tym krótszym loginem. Przynajmniej ja nie potrafię zmusić W10, żeby zalogował mnie do domeny loginem dłuższym, czyli tym z pozycji NAZWA LOGOWANIA UŻYTKOWNIKA.
Czy jest jakaś opcja, po przestawieniu której da się Windowsem 10 zalogować do domeny na login dłuższy niż 20 znaków?
Przetestowałem to na szybko DC Windows Server 2019 i W10 jako klient. Jeżeli wpiszę nazwa_użytkownika@nazwadomeny.local to pozwoli zalogować się użytkownikowi, którego login jest dłuższy niż 20 znaków. Format nazwadomeny\nazwauzytkownika pozwoli na logowanie się po staremu, czyli max. 20 znaków.