我一直在寻找一种在Active Directory中确定用户身份的方法。我找到了article,它解释了哪些字段是唯一的。这是一个很好的起点,但不能确定哪些字段是不可更改的。进一步的Google查询会在immutableId
上生成AzureAD结果,这是我想要的,但对于常规AD。我要防止的情况是,我使用sAMAccountName
(唯一)来标识用户,但是管理员出于某种原因(也许出于统一性)决定更改sAMAccountName
,并且我标识了相同的旧用户(现在有一个新的sAMAccountName
作为新用户。
文章中的一些竞争者:
我有什么想念的吗?纯AD(不是AzureAD)中是否有immutableId
等效项?
您可能想要的是objectGUID
。正如“ GUID”所暗示的那样,它是“全球唯一的”。即使帐户已移至另一个域,它也不会更改。
还有objectGUID
(SID =安全标识符),这是Windows权限使用的(SID存储在权限中)。它也是全局唯一的,但SID的一部分是域的SID。因此,如果将帐户移到另一个AD域,则会在该域上生成一个新的SID,并将旧的objectSid
放在新帐户的objectSid
中。
这里有一些额外的阅读内容:objectSid
sIDHistory
每当帐户重命名或移动到新的OU时都会更改。
您已经注意到,sIDHistory
和Security identifiers and globally unique identifiers都可以更改。