Начиная с Windows 2000 NTLM был заменен на Kerberos. Таким образом, Kerberos использует UPN для идентификации пользователей. UPN также является предпочтительным форматом именования пользователей.
Теперь, почему Windows 7 по-прежнему отображает зарегистрированного пользователя AD по умолчанию как DOMAIN\USER вместо того USER@REALM? Это происходит только тогда, когда я явно вхожу в систему с UPN. То же самое происходит в SharePoint, диалоге свойств файла и так далее. Я предполагаю, что SSPI делает это автоматически.
Я знаю, что AD внутренне работает с SID, а Kerberos - нет. По крайней мере, мой GSS-API не обеспечивает доступа к PAC, я полагаюсь исключительно на неявное UPN, которое, конечно, невозможно найти через LDAP. (Обратите внимание на атрибут userPrincipalName может быть сброшено на любое произвольное значение, например явное UPN (принципал предприятия).
Редактировать: Вот это еще одна веская причина, по которой эта чушь все еще существует. Надеюсь, это наследие исчезнет с Windows 9. Windows NT 4, к счастью, умерла. И другой окончательно устарел. Итак, когда-нибудь Windows должна будет показывать области Kerberos в раскрывающемся списке входа в домен вместо имен NetBIOS.
Имена пользователей NetBIOS (формат домен \ пользователь) заменены именами пользователей Kerberos, но не заменены. Однако они используются для аутентификации. Для доступа в средах AD используется отличительное имя LDAP.
Что касается того, почему Win7 по-прежнему отображает NetBIOS по умолчанию, а не UPN; вам придется спросить MS, но я подозреваю, что это было той же причиной, что и многие из их причудливых решений: какой-то менеджер испугался, что что-то на его / ее экране изменилось, поэтому он настоял на том, чтобы это было обратно на то, к чему он / он привык .