Я запутался между основным именем пользователя (UPN) и именем учетной записи SAM (SAM). Вот что я знаю
СЭМ-
Имя до окна, для обратной совместимости с машинами Windows NT и т. Д.
DOMAIN / USERA ищет USERA внутри домена DOMAIN, поэтому он уникален в домене.
Длина 20 символов.
UPN-
В формате электронной почты (проще для запоминания пользователем).
Без ограничений по количеству символов.
UPN остается таким же, даже если домен реструктурирован, например, даже если пользователь, имеющий UPN USERB@DOMAIN.COM, не находится в домене DOMAIN, но в DOMAIN B пользователь все еще может долго, потому что UPN относится к глобальному каталогу ( GC) и авторизует пользователя.
Но я чувствую, что не совсем понимаю это. Было бы действительно полезно, если бы кто-нибудь имел лучшее представление о том, как эти двое работают, и мог бы объяснить.
Какой метод входа в систему использует пользователь Windows для входа в систему? UPN или SAM?
SAM не делает ничего особенного, кроме обратной совместимости?
Так возможно ли, если все мои dcs - это сервер Windows 2012 R2, мне теоретически не нужно имя учетной записи SAM (я все еще должен использовать его, я знаю, но теоретически) больше?
Я занимаюсь исследованием уже несколько дней, и любое подробное объяснение, ссылка или статья, пример будут оценены.
Когда дело доходит до Winlogon, вы можете использовать и то, и другое. Это просто другой способ указать личность учетной записи пользователя.
Само имя учетной записи SAM - это просто имя пользователя. В этом случае USERA. Когда вы добавляете домен, например DOMAIN \ USERA, он становится тем, что называется имя входа нижнего уровня. Имя учетной записи SAM всегда будет использоваться в имени входа нижнего уровня, где UPN может быть другим.
Где UPN был бы другим? Как вы уже сказали, ограничение на количество символов может это сделать. У вас также может быть другой домен для вашей Active Directory, например company.local, чем ваши электронные письма, company.com. Просить людей войти в систему с помощью «bob@company.local» тогда становится запутанным.
Что лучше для пользователей? В зависимости от того, какие приложения вы используете, вы можете предпочесть одно или другое. Например, некоторые системы могут требовать, чтобы пользователи явно входили в систему с их UPN, или некоторые устаревшие системы могут принимать только имена учетных записей SAM.
UPN - это удобство, которое используется для поиска домена. Это полезно в многодоменных средах, поскольку samAccountName может не быть уникальным в лесу. Если функциональный уровень домена - 2012 R2 или выше, UPN принудительно должен быть уникальным в лесу. UPN может быть более удобным для пользователей, если они могут войти в систему со своим адресом электронной почты вместо своего домена \ samAccountName, и он может быть длиннее, чем максимальная длина samAccountName пользователя, равная 20 символам. В многодоменных средах использование UPN делает перемещение учетных записей пользователей прозрачным, поскольку пользователю не нужно входить в систему с использованием нового доменного имени для своей учетной записи, что может облегчить миграцию и консолидацию доменов.
После определения домена используется имя домена и samAccountName, которое появляется почти во всех событиях безопасности для аутентификации и доступа к ресурсам.
Некоторым API Microsoft требуется samAccountName.
Для привязок LDAP, если имя совпадает как с UPN одного объекта, так и с samAccountName другого объекта, будет использоваться объект с совпадением UPN, а не сбой.
Техническая спецификация Active Directory
https://msdn.microsoft.com/en-us/library/cc223122.aspx