当通过 RDP 连接到服务器时,我经常会发现没有可用的会话,因为当前有用户登录。在我们的环境中,我们使用创建托管域帐户的用户权限管理解决方案。出于某种原因,该解决方案将使用类似于以下内容的随机值填充 sAMAccountName(Windows 2000 之前的登录名):$1LB100-465HL3IJKL4
显示当前登录用户时显示的是 sAMAccountName,而不是可读的用户登录名。
有没有办法强制 Windows 显示 UPN 而不是 sAMAccountName,因为就目前情况而言,我们无法判断谁实际登录了,这会在决定结束哪个会话时造成问题。
下面的截图解释了我的观点:
由于显示的是 sAMAccountName 而不是 UPN,因此用户无法轻松识别谁已登录,因此谁的会话可以/应该断开。Windows 有没有办法显示登录用户的 UPN 而不是 sAMAccountName?
提前致谢。
答案1
好的,弄乱sAMAccountName
它在 Windows 规范中的定义是非常严重的问题:
http://msdn.microsoft.com/en-us/library/ms679635%28v=vs.85%29.aspx
http://msdn.microsoft.com/en-us/library/ms677605(v=vs.85).aspx
它的存在是为了兼容性,老实说,我想不出一个践踏它的好理由——你可以修改你的 LDAP 模式并添加自定义属性和字段。但如果你改变了某些东西,根据定义应该是别的东西,那么各种各样的事情就会以各种方式发生故障。
您不会想使用 UPN,因为它是由 Kerberos 规范定义的,并且实际上可能很长 - 因此对于屏幕显示来说没有多大用处。
你真正想要的是每个帐户的唯一值,而且要简短。这就是sAMAccountName
定义。如果你不能让你的安全管理软件使用其他东西,我建议你严重地考虑把它扔掉然后买一个不吸的*。
* 我知道这有点偏离了“意见”的范畴,但我想指出的是,作为一名专业的系统管理员,这是确切地这类事情会让系统变得不可靠、不可预测和不稳定,所以你永远不应该这样做。