ユーザープリンシパル名とSAMアカウント名

tag-icon tag-icon windows active-directory windows-server-2012-r2 user-accounts
ユーザープリンシパル名とSAMアカウント名

ユーザープリンシパル名 (UPN) と SAM アカウント名 (SAM) がわかりません。私が知っていることは次のとおりです。

サム-

  1. Windows NT マシンなどとの下位互換性を保つための、Windows 以前の名前。

  2. DOMAIN/USERA は、ドメイン DOMAIN 内で USERA を検索するため、ドメイン内で一意です。

  3. 20文字まで。

UPN-

  1. 電子メール形式の形式(ユーザーが覚えやすい)。

  2. 文字数制限はありません。

  3. UPNはドメインが再構築されても同じです。例えば、UPNを持つユーザーが[メールアドレス]はドメイン DOMAIN 内にはありませんが、DOMAIN B では UPN がグローバル カタログ (GC) を参照してユーザーをログインさせるため、ユーザーは引き続きログインできます。

しかし、私はこのことについてあまりよくわかっていないように感じます。これら 2 つがどのように機能するかについて、より詳しい知識があり、説明できる方がいれば、本当に助かります。

Windows ユーザーはどのログイン方法でユーザーをログオンしますか? UPN ですか、それとも SAM ですか?

SAM は下位互換性以外に特別なことは何もしないのですか?

では、すべての DC が Windows Server 2012 R2 である場合、理論的には SAM アカウント名が不要になる (理論的には使用する必要があることはわかっています) ことは可能ですか?

私はここ数日調査を続けており、詳細な説明、リンク、記事、例などがあればありがたいです。

答え1

Winlogon に関しては、どちらでも使用できます。ユーザー アカウントの ID を示す方法が異なるだけです。

SAMアカウント名自体はユーザー名です。この場合はUSERAです。DOMAIN\USERAのようにドメインを追加すると、下位レベルのログオン名SAM アカウント名は常にダウンレベルのログオン名で使用され、UPN は異なる場合があります。

UPNはどこで違うのでしょうか?おっしゃるとおり、文字数制限によってそれが起こります。Active Directoryのドメインが異なる場合もあります。会社.ローカル、あなたのメールよりも、会社情報. 「」でログオンするよう求める[メールアドレス]」となると混乱してしまいます。

ユーザーにとってどちらが使いやすいでしょうか? 使用しているアプリケーションに応じて、どちらか一方を優先する場合があります。たとえば、一部のシステムでは、ユーザーが UPN で明示的にログオンする必要がある場合や、一部のレガシー システムでは SAM アカウント名しか受け入れられない場合があります。

答え2

UPN は、ドメインを見つけるために使用される便利なものです。これは、samAccountName がフォレスト内で一意でない可能性があるため、マルチドメイン環境で役立ちます。ドメインの機能レベルが 2012 R2 以上の場合、UPN はフォレスト内で一意であることが強制されます。ユーザーがドメイン\samAccountName ではなく電子メール アドレスでログオンできる場合、UPN はユーザー samAccountName の最大長である 20 文字より長くてもかまいません。マルチドメイン環境では、UPN を使用すると、ユーザーは自分のアカウントの新しいドメイン名を使用してログオンする必要がないため、ユーザー アカウントの移動が透過的になり、ドメインの移行と統合が容易になります。

ドメインが特定されると、ドメイン名と samAccountName が使用され、認証とリソースへのアクセスに関するほぼすべてのセキュリティ イベントに表示されます。

一部の Microsoft API では samAccountName が必要です。

LDAP バインドの場合、名前が 1 つのオブジェクトの UPN と別のオブジェクトの samAccountName の両方に一致すると、失敗するのではなく、UPN が一致するオブジェクトが使用されます。

Active Directory 技術仕様
https://msdn.microsoft.com/en-us/library/cc223122.aspx

関連情報