![DOMAIN\username 和 [email protected] 之间有什么区别?](https://linux22.com/image/579020/DOMAIN%5Cusername%20%E5%92%8C%20%5Bemail%20protected%5D%20%E4%B9%8B%E9%97%B4%E6%9C%89%E4%BB%80%E4%B9%88%E5%8C%BA%E5%88%AB%EF%BC%9F.png)
我正在尝试排除一个模糊的身份验证错误并需要一些背景信息。
DOMAIN\usernameWindows(以及 Outlook 等程序)的处理方式和之间有什么区别[email protected]?这两种用户名格式的正确术语是什么?
编辑:具体来说,Windows 对这两种用户名格式的验证方式有何区别?
答案1
假设您有一个 Active Directory 环境:
我相信反斜杠格式 DOMAIN\USERNAME 将在域 DOMAIN 中搜索 SAM 帐户名为 USERNAME 的用户对象。
UPN 格式 username@domain 将在林中搜索用户主体名称为 username@domain 的用户对象。
现在,通常情况下SAM 帐户名为 USERNAME 的用户帐户的 UPN 为 USERNAME@DOMAIN,因此,两种格式都应定位相同的帐户,至少在 AD 功能齐全的情况下。如果存在复制问题或无法访问全局目录,则在 UPN 格式失败的情况下,反斜杠格式可能会起作用。也可能存在(异常)情况,在这种情况下会应用相反的方法 - 例如,如果无法访问目标域的任何域控制器。
但是:您也可以明确配置一个用户帐户,使其具有一个 UPN,其用户名组件与 SAM 帐户名不同,其域组件与域名不同。
Active Directory 用户和计算机中的“帐户”选项卡在“用户登录名”标题下显示 UPN,在“用户登录名(Windows 2000 之前)”标题下显示 SAM 帐户名。因此,如果您在处理特定用户的问题时遇到问题,我会检查这两个值之间是否存在任何差异。
注意:如果我上面描述的搜索没有找到用户帐户,则可能会进行其他搜索。例如,也许将指定的用户名转换为其他格式(以明显的方式)以查看是否产生匹配。还必须有一些程序来查找不在林中的受信任域中的帐户。我不知道确切的行为在哪里/是否有记录。
为了进一步使故障排除复杂化,Windows 客户端将默认缓存有关成功的交互式登录的信息,这样即使 Active Directory 中的用户帐户信息无法访问,您也可能登录到同一个客户端。
答案2
我可能会对此进行纠正,但实际上并没有太大的区别。
Domain\User 是“旧”的登录格式,称为低级登录名. 也被称为SAMAccountName和Windows 2000 之前的登录名。
[电子邮件保护]是UPN——用户主体名称。它是“首选”的较新的登录格式。它是一种 Internet 样式的登录名,应该映射到用户电子邮件名称。(参考 MSDN)
我认为使用 UPN 登录的原因大多是外观上的 - 它们理论上为您公司中的用户提供一个用于登录他们的工作站的单一名称,该名称也可以作为他们的公司电子邮件地址。
编辑:更详细地说 - UPN 的另一个优点是您可以为用户设置多个有效的 UPN 以供登录。同样,这在很大程度上是表面现象。但重要的是并非所有应用程序都与 UPN 兼容,而这可能就是您所遇到的情况。
编辑#2:我喜欢 Harry Johnston 在下面关于两种略有不同的搜索格式的回答。这很有道理,而且最重要的是它可能确实解释了你的问题。:)
答案3
斜线格式 ( DOMAIN\username) 实际上相当于NetBIOS域名的 DNS 名称 ( domain.mycompany.local)。
名称NetBIOS限制为 15 个字符,不能包含点、下划线等。
本页更详细地解释了:
- Jeff Schertz,2012-08-20,了解 Active Directory 命名格式
正如上面的@harry-johnston 所提到的,它实际上只是旧的 NT4 和 Windows 2000 兼容格式,但它似乎已成为一种受欢迎的格式(输入起来更少!)。最终,Windows 可能会不再支持旧格式。
让用户养成使用 UPN 格式的习惯可能是一个好主意,因为它还可以避免以下问题:他们无法使用自己的用户名登录 PC,却没有意识到 Windows 登录框已默认为本地 PC 域(例如pc01\fred),或者当他们连接到不同的远程桌面主机时,必须记住包括域以及他们的用户名,因为远程桌面客户端可能会缓存另一个以前使用的域名。每次都坚持使用 UPN 格式最终只会减少支持呼叫次数。
答案4
这两者之间肯定存在差异,只有 99% 的用户不会遇到问题。我将尝试解释差异以及何时会出现此类问题。
如果您在尝试访问文件共享时使用 domain\username,则 DNS 将首先解析域,然后检查用户名。如果您使用 username@domain,则它将直接检查用户是否在 ACL(访问控制列表)上并具有访问权限。那么您可能会想这有什么关系……好吧,想象一下:
1 个域控制器,名称为 DC01,所有客户端都获得 DNS 并位于此域中。您想要迁移,有人添加了另一台同名的服务器。后者的服务器也将成为 DC,因此本地 SAM 将不再使用,并且还具有文件共享。
当用户连接到服务器时,系统会提示他们输入凭据。如果您使用域\用户名,它将首先检查当前域,而不是使用新域,我们在文件共享上使用新域中的帐户。因此,一旦找到当前 dc 并检查用户名,就找不到它了。(即使找到用户名和密码并且完全相同,它也不会起作用,因为它不会使用用户名来验证它是否在 ACL 中被允许,但它将使用 SID。sid 将在 AD 中创建用户时创建,并且您有万亿分之一的变化,它是相同的,很棒吧:-P)。