Konwencje nazewnictwa użytkowników Active Directory

Print Friendly, PDF & Email

W tym artykule przyjrzę się niektórym z najczęściej używanych konwencji nazewnictwa przy tworzeniu kont użytkowników Windows Active Directory. Każde konto użytkownika będzie musiało być unikalne, więc zastosowanie konwencji nazewnictwa ułatwi pracę administratora.

Nie ma jednej najlepszej konwencji nazewnictwa, zależy to od wielkości i wymagań Twojej organizacji. Najpierw przyjrzyjmy się kilku rzeczom, które musisz wziąć pod uwagę i jakie problemy możesz napotkać podczas korzystania z określonego schematu nazewnictwa.

Rzeczy do rozważenia

  • Starsze aplikacje lub systemy komputerowe z limitem 8 znaków
  • Bezpieczeństwo
  • Jednokrotne logowanie z innymi systemami

W niektórych starszych aplikacjach nazwa użytkownika może zawierać tylko 8 znaków. Jeśli masz takie programy, możesz również ograniczyć swoje konta Active Directory do 8 znaków. Większość programów umożliwia mapowanie nazwy użytkownika na nazwę systemu Windows, która może być inna.

Problem polega na tym, że tworzy inną nazwę logowania, którą użytkownicy będą musieli zapamiętać. Chcemy maksymalnie ułatwić użytkownikom życie. Niektóre z powszechnie używanych konwencji nazewnictwa tworzą łatwe do odgadnięcia nazwy logowania, co wiąże się z bezpieczeństwem.

Ułatwia to spamerom i hakerom odgadnięcie nazwy logowania i adresu e-mail. Ostatnią rzeczą do rozważenia jest to, że aplikacje korzystające z logowania jednokrotnego, tutaj rodzi się pytanie czy wybrany schemat nazewnictwa będzie zgodny z logowaniem jednokrotnym.

Polityka wyjątków

  • Zduplikowane nazwy
  • Zmiana nazwiska
  • Dziwne lub okropne nazwy logowania

Zawsze będą problemy, więc będziesz musiał być elastyczny w stosunku do swoich użytkowników. W przypadku dużych środowisk niektóre z tych metod mogą powodować zduplikowane konta. Będziesz chciał mieć pełną nazwę użytkownika, w tym środek; możesz użyć drugiego imienia, jeśli natrafisz na zduplikowane konta.

Zdarzyło mi się kilka razy, że wciąż natrafiałem na zduplikowane konta, nawet po użyciu środkowego inicjału. Kiedy to nastąpi, po prostu dodajemy numer na końcu konta. W przypadku każdej metody, która używa pełnego nazwiska, prawdopodobnie napotkasz użytkowników, którzy biorą ślub i będą wymagali zmiany nazwy logowania.

W tego typu okolicznościach wymagana będzie dodatkowa praca, w tym zmiana nazwy konta Active Directory i katalogów domowych. Należy również zmienić nazwę adresu e-mail lub dodać nowy alias. Możesz również skończyć z naprawdę złymi nazwami logowania, które użytkownicy proszą o zmianę, jest to rzadkie, ale się zdarza.

Konwencje nazewnictwa

Pełne imię i nazwisko: jest to zdecydowanie najczęściej stosowana konwencja nazewnictwa, której używali inni ludzie. Bierzesz pełne imię użytkowników i łączysz je z pełnym nazwiskiem. Można również dodać myślnik lub kropkę.

Przykład: Dla Jana Kowalskiego nazwą logowania będzie jan.kowalski, jeśli istnieją duplikaty, po prostu dodaj środkowy inicjał jan.a.kowalski.

Ta metoda ma tę zaletę, że tworzy łatwe do zapamiętania nazwy logowania i sprawdza się dobrze w małych i dużych organizacjach. Jedyną wadą tej metody jest możliwość tworzenia długich nazw, które mają ponad 8 znaków.

Inicjał imienia i pełne nazwisko: bierzesz inicjał imienia użytkownika i łączysz go z jego pełnym nazwiskiem. Działa to dobrze w dużych i małych organizacjach i sprawia, że nazwa logowania jest krótsza. W dużych organizacjach będziesz mieć kilka duplikatów. Ta metoda może również tworzyć dziwne nazwy logowania.

Przykład: Dla Jan Kowalski nazwą logowania będzie jkowalski, jeśli istnieją duplikaty, użyj środkowego inicjału jakowalski.

Pierwsze trzy znaki imienia i pierwsze trzy nazwiska: łączy się pierwsze trzy znaki imienia i pierwsze trzy znaki nazwiska.

Przykład:
Nazwa logowania Jan Kowalski to jankow, jeśli duplikaty po prostu dodają środkowy inicjał janakow.

Ta metoda ma tę zaletę, że tworzy krótkie, łatwe do zapamiętania nazwy logowania. Utrzymywałby również nazwę logowania poniżej 8 znaków. Nie widzę większych wad tej metody, poza tym, że może tworzyć zduplikowane nazwy.

Trzy losowe litery i trzy cyfry: Ta nie była powszechnie używana, ale widziałem pewne zalety jej używania. Sprawdziłby się w bardzo dużym środowisku. Unikniesz także powielania nazw i zmiany nazwy kont, jeśli zmieni się nazwisko użytkownika.

Jedyną wadą jest adres e-mail; Nie sądzę, aby użytkownicy chcieli mieć adres e-mail składający się z losowych znaków, ale zawsze możesz dać im inny adres e-mail. Może to również pomóc w zwalczaniu spamu i bezpieczeństwie. Jeśli spamerzy otrzymają listę nazw użytkowników, nie będą mogli odgadnąć ich adresu e-mail.

Przykład: atw235

To, co możesz zrobić, aby ułatwić użytkownikom zapamiętywanie, to użyć pierwszych trzech znaków ich imienia i trzech liczb losowych

Przykład: Dla Jan Kowalski nazwa logowania będzie jan235

Myślenie o konwencji nazewnictwa można łatwo przeoczyć, ale jak widać, jest wiele rzeczy do rozważenia. Czy używasz innej konwencji nazewnictwa? Jeśli tak, podziel się swoją metodą w komentarzach poniżej.

Podsumowanie

Mam nadzieję, że ten wpis będzie przydatny w planowaniu struktury nazewniczej w ActiveDirectory .Warto zapoznać się również z wcześniejszymi wpisami, 15 najlepszych praktyk dotyczących Group Policy Object (GPO), 16 praktyk konfiguracji serwera DHCP, 25 najlepszych praktyk w zakresie bezpieczeństwa Active Directory. Mam nadzieję, że taki zestaw pomoże w codziennej pracy z rozwiązaniami firmy Microsoft i/lub właściwym zapłanowaniem wdrożenia w/w rozwiązań w organizacji.

Print Friendly, PDF & Email

Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).

Dodaj komentarz

beitadmin.pl - Droga Administratora IT