Active directory 一般来说，对于Active Directory，大多数公司使用什么作为人员的唯一标识符？_Active Directory_Ldap

Active directory 一般来说，对于Active Directory，大多数公司使用什么作为人员的唯一标识符？

active-directory ldap

Active directory 一般来说，对于Active Directory，大多数公司使用什么作为人员的唯一标识符？,active-directory,ldap,Active Directory,Ldap,我正在尝试构建一个数据库，用于存储用户/员工的Active Directory条目假设查询：（objectClass=person）我应该将什么属性存储为非DN的唯一标识符？e、 g.我应该使用mail还是uid 另外，当一名员工被取消激活时，是否有一个新的属性被添加或完全从AD中删除？您提出的问题似乎有点基于观点，但我将从AD中可用的常规选项和遵循的常规做法的上下文中进行讨论假设查询：（objectClass=person）安全吗创建的所有用户都属于（objectClass=perso

我正在尝试构建一个数据库，用于存储用户/员工的Active Directory条目

假设查询：

（objectClass=person）

我应该将什么属性存储为非DN的唯一标识符？e、 g.我应该使用

mail

还是

uid

另外，当一名员工被取消激活时，是否有一个新的属性被添加或完全从AD中删除？

您提出的问题似乎有点基于观点，但我将从AD中可用的常规选项和遵循的常规做法的上下文中进行讨论

假设查询：（objectClass=person）安全吗

创建的所有用户都属于

（objectClass=person）

类别。但是，如果您创建了一个通用用户（通过ADUC（dsa.msc）/powershell/C#等）来访问系统上的文件共享，而该系统不是员工，那么在这种情况下，它将违反您的搜索条件，尽管它是person类。我可以想到许多其他场景，至少从中型公司及以上的角度来看，不可能避免创建通用用户（这将再次发生在person objectClass中）

因此，在这种情况下，最好在您的环境中遵循命名约定，以避免任何此类混淆。一个示例可以是，假设将非员工用户的UPN/sAMAccountName设置为从genXXXX开始，这样以后就可以轻松搜索所有员工用户

我应该将什么属性存储为非DN的唯一标识符？e、我应该使用邮件还是uid

AD中已经存在唯一标识符，如

objectGUID

和

objectSid

。在域中，sAMAccountName/UPN值也是唯一的。但是，您不能依靠它进行森林级别的搜索

当用户迁移到另一个域时，该用户的objectSid可以更改，但objectGUID从不更改。你可以阅读更多关于

此外，当员工被取消激活时，是否有一个新的属性被添加，还是完全从广告中删除

AD侧没有自动触发器。有一个名为

lastLogontimeStamp

的属性，它有助于跟踪用户或计算机帐户何时登录到域（不是实时场景，而是最近的场景-取决于它是否保持正确更新）

如果员工/用户离开组织，则必须有人手动禁用/删除该帐户。公司中有流程设置来处理这种情况，即访问管理解决方案与AD模块链接，并负责用户的进入和退出，并在AD中执行相关操作

希望它能为您提出的问题提供一个粗略的管理思路。

天哪，这太棒了。非常感谢你！好的，谢谢你的反馈！如果你还没有投票的话，请把答案也投上去。祝你好运@TimNuwin！