Estoy confundido entre el nombre principal de usuario (UPN) y el nombre de cuenta SAM (SAM). Esto es lo que sé
SAM-
Nombre anterior a Windows, para compatibilidad con versiones anteriores de máquinas con Windows NT, etc.
DOMINIO/USUARIO, busca USUARIO dentro del dominio DOMINIO, por lo tanto es único en el dominio.
20 caracteres de largo.
UPN-
En el formato de estilo de correo electrónico (más fácil de recordar para el usuario).
Sin límite de caracteres.
UPN es el mismo incluso si el dominio se reestructura, por ejemplo, incluso si el usuario que tiene UPN[correo electrónico protegido], no está en el dominio DOMINIO pero en el DOMINIO B el usuario aún puede permanecer largo porque la UPN hace referencia al Catálogo global (GC) e inicia la sesión del usuario.
Pero siento que no lo tengo muy claro. Sería realmente útil si alguien tuviera una mejor idea de cómo funcionan estos dos y pudiera explicarlo.
¿Qué método de inicio de sesión utiliza el usuario de Windows para iniciar sesión? ¿UPN o SAM?
¿SAM no hace nada especial aparte de la compatibilidad con versiones anteriores?
Entonces, ¿es posible que si todos mis DCS son Windows Server 2012 R2, en teoría ya no necesite el nombre de cuenta SAM (todavía tengo que usarlo, lo sé, pero en teoría)?
He estado investigando desde hace días y agradecería cualquier explicación detallada, enlace o artículo, ejemplo.
Respuesta1
Cuando se trata de Winlogon, puedes usar cualquiera de los dos. Es simplemente una forma diferente de indicar la identidad de la cuenta de usuario.
El nombre de la cuenta SAM en sí es solo el nombre de usuario. En este caso, USERA. Cuando agrega el dominio, como DOMINIO\USO, se convierte en lo que se conoce como unnombre de inicio de sesión de nivel inferior. El nombre de la cuenta SAM siempre se utilizará en el nombre de inicio de sesión de nivel inferior, donde el UPN puede ser diferente.
¿En qué sería diferente la UPN? Como has dicho, el límite de caracteres puede hacerlo. También es posible que tengas un dominio diferente para tu Active Directory, comoempresa.local, que tus correos electrónicos,empresa.com. Pedirle a la gente que inicie sesión con "[correo electrónico protegido]" entonces se vuelve confuso.
¿Cuál es mejor para los usuarios? Dependiendo de las aplicaciones que tengas en uso, es posible que prefieras una u otra. Por ejemplo, algunos sistemas pueden requerir que los usuarios inicien sesión con su UPN explícitamente, o algunos sistemas heredados solo aceptan nombres de cuentas SAM.
Respuesta2
El UPN es una comodidad que se utiliza para localizar el dominio. Esto es útil en entornos de múltiples dominios, debido a que samAccountName puede no ser único en el bosque. Si el nivel funcional de un dominio es 2012 R2 o superior, se exige que el UPN sea único en el bosque. El UPN puede ser más conveniente para los usuarios si pueden iniciar sesión con su dirección de correo electrónico en lugar de su dominio\samAccountName, y puede tener más que la longitud máxima de 20 caracteres del usuario samAccountName. En entornos de múltiples dominios, el uso de UPN hace que la transferencia de cuentas de usuario sea transparente porque el usuario no necesita iniciar sesión con el nuevo nombre de dominio de su cuenta, lo que puede facilitar las migraciones y consolidaciones de dominios.
Una vez ubicado el dominio, lo que se utiliza es el nombre de dominio y samAccountName y aparece en casi todos los eventos de seguridad para la autenticación y el acceso a los recursos.
Algunas API de Microsoft requieren samAccountName.
Para enlaces LDAP, si un nombre coincide con el UPN de un objeto y el samAccountName de otro objeto, se utilizará el objeto con la coincidencia de UPN, en lugar de fallar.
Especificación técnica de Directorio Activo
https://msdn.microsoft.com/en-us/library/cc223122.aspx