Назад | Перейти на главную страницу

Основное имя пользователя и имя учетной записи SAM

Я запутался между основным именем пользователя (UPN) и именем учетной записи SAM (SAM). Вот что я знаю

СЭМ-

  1. Имя до окна, для обратной совместимости с машинами Windows NT и т. Д.

  2. DOMAIN / USERA ищет USERA внутри домена DOMAIN, поэтому он уникален в домене.

  3. Длина 20 символов.

UPN-

  1. В формате электронной почты (проще для запоминания пользователем).

  2. Без ограничений по количеству символов.

  3. UPN остается таким же, даже если домен реструктурирован, например, даже если пользователь, имеющий UPN USERB@DOMAIN.COM, не находится в домене DOMAIN, но в DOMAIN B пользователь все еще может долго, потому что UPN относится к глобальному каталогу ( GC) и авторизует пользователя.

Но я чувствую, что не совсем понимаю это. Было бы действительно полезно, если бы кто-нибудь имел лучшее представление о том, как эти двое работают, и мог бы объяснить.

Какой метод входа в систему использует пользователь Windows для входа в систему? UPN или SAM?

SAM не делает ничего особенного, кроме обратной совместимости?

Так возможно ли, если все мои dcs - это сервер Windows 2012 R2, мне теоретически не нужно имя учетной записи SAM (я все еще должен использовать его, я знаю, но теоретически) больше?

Я занимаюсь исследованием уже несколько дней, и любое подробное объяснение, ссылка или статья, пример будут оценены.

Когда дело доходит до Winlogon, вы можете использовать и то, и другое. Это просто другой способ указать личность учетной записи пользователя.

Само имя учетной записи SAM - это просто имя пользователя. В этом случае USERA. Когда вы добавляете домен, например DOMAIN \ USERA, он становится тем, что называется имя входа нижнего уровня. Имя учетной записи SAM всегда будет использоваться в имени входа нижнего уровня, где UPN может быть другим.

Где UPN был бы другим? Как вы уже сказали, ограничение на количество символов может это сделать. У вас также может быть другой домен для вашей Active Directory, например company.local, чем ваши электронные письма, company.com. Просить людей войти в систему с помощью «bob@company.local» тогда становится запутанным.

Что лучше для пользователей? В зависимости от того, какие приложения вы используете, вы можете предпочесть одно или другое. Например, некоторые системы могут требовать, чтобы пользователи явно входили в систему с их UPN, или некоторые устаревшие системы могут принимать только имена учетных записей SAM.

UPN - это удобство, которое используется для поиска домена. Это полезно в многодоменных средах, поскольку samAccountName может не быть уникальным в лесу. Если функциональный уровень домена - 2012 R2 или выше, UPN принудительно должен быть уникальным в лесу. UPN может быть более удобным для пользователей, если они могут войти в систему со своим адресом электронной почты вместо своего домена \ samAccountName, и он может быть длиннее, чем максимальная длина samAccountName пользователя, равная 20 символам. В многодоменных средах использование UPN делает перемещение учетных записей пользователей прозрачным, поскольку пользователю не нужно входить в систему с использованием нового доменного имени для своей учетной записи, что может облегчить миграцию и консолидацию доменов.

После определения домена используется имя домена и samAccountName, которое появляется почти во всех событиях безопасности для аутентификации и доступа к ресурсам.

Некоторым API Microsoft требуется samAccountName.

Для привязок LDAP, если имя совпадает как с UPN одного объекта, так и с samAccountName другого объекта, будет использоваться объект с совпадением UPN, а не сбой.

Техническая спецификация Active Directory
https://msdn.microsoft.com/en-us/library/cc223122.aspx