我对用户主体名称 (UPN) 和 SAM 帐户名称 (SAM) 感到困惑。以下是我所知道的
山姆
前 Windows 名称,用于与 Windows NT 机器等向后兼容。
DOMAIN/USERA,在域 DOMAIN 内查找 USERA,因此它在域中是唯一的。
长度为 20 个字符。
UPN-
采用电子邮件样式格式(更容易让用户记住)。
没有字符限制。
即使域被重组,UPN 也是相同的,例如,即使具有 UPN 的用户[电子邮件保护],不在域 DOMAIN 中,但在 DOMAIN B 中,用户仍然可以登录,因为 UPN 引用了全局目录 (GC) 并让用户登录。
但我觉得我对此不太清楚。如果有人能更好地了解这两者是如何工作的,并能解释一下,那将非常有帮助。
Windows 用户使用哪种登录方法登录用户?UPN 还是 SAM?
除了向后兼容之外,SAM 有什么特别之处吗?
所以,如果我的所有 dcs 都是 windows server 2012 R2,那么理论上我不再需要 SAM 帐户名(我知道我仍然必须使用它,但只是理论上)吗?
我已经研究了好几天了,如果能提供任何详细的解释、链接、文章和例子我将不胜感激。
答案1
对于 Winlogon,您可以使用其中任意一种。这只是声明用户帐户身份的不同方式。
SAM 帐户名称本身就是用户名。在本例中为 USERA。当您添加域(如 DOMAIN\USERA)时,它就变成了所谓的低级登录名。SAM 帐户名将始终用于下级登录名,其中 UPN 可以不同。
UPN 在哪里会有所不同?正如您所说,字符限制可以做到这一点。您的 Active Directory 可能还具有不同的域,例如公司.本地,而不是你的电子邮件,company.com. 要求人们使用“[电子邮件保护]“然后就变得令人困惑了。
哪种方式对用户来说更好用?根据您使用的应用程序,您可能更喜欢其中一种。例如,某些系统可能要求用户明确使用其 UPN 登录,或者某些旧系统可能仅接受 SAM 帐户名。
答案2
UPN 是一种用于定位域的便利方法。这在多域环境中非常有用,因为 samAccountName 在林中可能不是唯一的。如果域功能级别为 2012 R2 或更高,则强制 UPN 在林中唯一。如果用户可以使用电子邮件地址而不是域\samAccountName 登录,UPN 可能对用户更方便,并且它可以比用户 samAccountName 的最大长度 20 个字符更长。在多域环境中,使用 UPN 使移动用户帐户变得透明,因为用户不需要使用其帐户的新域名登录,这可以促进域迁移和合并。
找到域名后,域名和 samAccountName 就是用来进行身份验证和访问资源的,几乎出现在所有安全事件中。
一些 Microsoft API 需要 samAccountName。
对于 LDAP 绑定,如果名称与一个对象的 UPN 和另一个对象的 samAccountName 都匹配,则将使用具有 UPN 匹配的对象,而不是失败。
Active Directory 技术规范
https://msdn.microsoft.com/en-us/library/cc223122.aspx