自 Windows 2000 以来,NTLM 已被 Kerberos 取代。因此 Kerberos 使用 UPN 来识别用户。UPN 也是首选的用户名格式。
现在,为什么 Windows 7 仍然默认将已登录的 AD 用户显示为 而DOMAIN\USER不是USER@REALM?仅当我使用 UPN 明确登录时才会发生这种情况。 SharePoint、文件属性对话框等中也会发生同样的情况。我推测这是由 SSPI 自动完成的。
我知道 AD 内部支持 SID,但 Kerberos 不支持。至少我的 GSS-API 不提供对 PAC 的访问,我仅依赖于隐式 UPN,而这当然无法通过 LDAP 找到。(请注意,该属性userPrincipalName可以重置为任意值,例如显式 UPN(企业主体)。
编辑:这里这也是为什么这种垃圾仍然存在的另一个好理由。希望这种遗产能随着 Windows 9 而消失。幸运的是,Windows NT 4 已经死了。另一个最终弃用。因此,将来 Windows 应该在域登录下拉框中显示 Kerberos 领域,而不是 NetBIOS 名称。
答案1
NetBIOS 用户名(域\用户格式)已被 Kerberos 用户名取代,但并未被取代。但是,这些用户名用于身份验证。对于访问,在 AD 环境中使用 LDAP 可分辨名称。
至于为什么 Win7 仍然默认显示 NetBIOS 而不是 UPN;你得问 MS,但我怀疑这和他们的许多古怪决定的理由是一样的:一些经理对他/她屏幕上的某些东西发生了变化感到惊慌失措,所以他坚持要将其改回他/她习惯的样子。