Ich bin verwirrt zwischen dem Benutzerprinzipalnamen (UPN) und dem SAM-Kontonamen (SAM). Hier ist, was ich weiß
SAM-
Name vor Windows, für Abwärtskompatibilität mit Windows NT-Rechnern usw.
DOMAIN/USERA, sucht nach USERA innerhalb der Domäne DOMAIN, daher ist es in der Domäne eindeutig.
20 Zeichen lang.
UPN-
Im E-Mail-Stil-Format (für den Benutzer leichter zu merken).
Keine Zeichenbegrenzung.
UPN bleibt gleich, auch wenn die Domäne umstrukturiert wird, beispielsweise auch wenn der Benutzer mit UPN[email geschützt], befindet sich nicht in Domäne DOMAIN, sondern in DOMAIN B. Der Benutzer kann sich trotzdem anmelden, da der UPN auf den Global Catalog (GC) verweist und den Benutzer anmeldet.
Aber ich habe das Gefühl, dass mir das nicht ganz klar ist. Es wäre wirklich hilfreich, wenn jemand eine bessere Vorstellung davon hätte, wie diese beiden funktionieren, und es erklären könnte.
Mit welcher Anmeldemethode meldet sich der Windows-Benutzer an? UPN oder SAM?
Bietet SAM außer der Abwärtskompatibilität nichts Besonderes?
Ist es also möglich, dass ich, wenn alle meine DCs Windows Server 2012 R2 sind, theoretisch den SAM-Kontonamen nicht mehr brauche (ich weiß, ich muss ihn trotzdem verwenden, aber nur theoretisch)?
Ich recherchiere seit Tagen und bin für jede ausführliche Erklärung, jeden Link, Artikel oder jedes Beispiel dankbar.
Antwort1
Bei Winlogon können Sie beides verwenden. Es ist lediglich eine andere Möglichkeit, die Identität des Benutzerkontos anzugeben.
Der SAM-Kontoname selbst ist nur der Benutzername. In diesem Fall USERA. Wenn Sie die Domäne hinzufügen, z. B. DOMAIN\USERA, wird daraus ein sogenannterDownlevel-AnmeldenameDer SAM-Kontoname wird immer im Downlevel-Anmeldenamen verwendet, wobei der UPN unterschiedlich sein kann.
Wo wäre der UPN anders? Wie Sie gesagt haben, kann die Zeichenbeschränkung dies bewirken. Möglicherweise haben Sie auch eine andere Domäne für Ihr Active Directory, wieFirma.lokal, als Ihre E-Mails,unternehmen.com. Benutzer werden aufgefordert, sich mit " anzumelden.[email geschützt]" wird dann verwirrend.
Was ist für Benutzer besser? Je nachdem, welche Anwendungen Sie verwenden, bevorzugen Sie möglicherweise die eine oder die andere. Einige Systeme erfordern beispielsweise, dass sich Benutzer explizit mit ihrem UPN anmelden, oder einige Legacy-Systeme akzeptieren möglicherweise nur SAM-Kontonamen.
Antwort2
Der UPN ist eine praktische Funktion, die zum Auffinden der Domäne verwendet wird. Dies ist in Umgebungen mit mehreren Domänen nützlich, da der samAccountName in der Gesamtstruktur möglicherweise nicht eindeutig ist. Wenn eine Domänenfunktionsebene 2012 R2 oder höher ist, muss der UPN in der Gesamtstruktur eindeutig sein. Der UPN ist für die Benutzer möglicherweise praktischer, wenn sie sich mit ihrer E-Mail-Adresse statt mit ihrer Domäne\samAccountName anmelden können, und er kann länger sein als die maximale Länge des samAccountName des Benutzers von 20 Zeichen. In Umgebungen mit mehreren Domänen macht die Verwendung des UPN das Verschieben von Benutzerkonten transparent, da sich der Benutzer nicht mit dem neuen Domänennamen für sein Konto anmelden muss, was Domänenmigrationen und -konsolidierungen erleichtern kann.
Nachdem die Domäne lokalisiert wurde, werden der Domänenname und der SamAccountName verwendet und erscheinen in fast allen Sicherheitsereignissen zur Authentifizierung und zum Zugriff auf Ressourcen.
Einige Microsoft-APIs erfordern den samAccountName.
Wenn bei LDAP-Bindungen ein Name sowohl mit dem UPN eines Objekts als auch mit dem samAccountName eines anderen Objekts übereinstimmt, wird das Objekt mit der UPN-Übereinstimmung verwendet, statt einen Fehler zu verursachen.
Technische Spezifikation für Active Directory
https://msdn.microsoft.com/en-us/library/cc223122.aspx