Estou confuso entre o nome principal do usuário (UPN) e o nome da conta SAM (SAM). Aqui está o que eu sei
SAM-
Nome pré-Windows, para compatibilidade com versões anteriores de máquinas Windows NT, etc.
DOMAIN/USERA, procura USERA dentro do domínio DOMAIN, portanto é único no domínio.
20 caracteres.
UPN-
No formato estilo e-mail (mais fácil de lembrar para o usuário).
Sem limite de caracteres.
O UPN é o mesmo mesmo se o domínio for reestruturado, por exemplo, mesmo se o usuário tiver UPN[e-mail protegido], não está no domínio DOMÍNIO, mas no DOMÍNIO B, o usuário ainda pode esperar porque o UPN se refere ao Catálogo Global (GC) e efetua login do usuário.
Mas sinto que não estou muito claro sobre isso. Seria muito útil se alguém tivesse uma ideia melhor de como esses dois funcionam e pudesse explicar.
Qual método de login o usuário do Windows faz o logon do usuário? UPN ou SAM?
O SAM não faz nada de especial além da compatibilidade com versões anteriores?
Então, é possível que se todos os meus dcs forem windows server 2012 R2, teoricamente não preciso mais do nome da conta SAM (ainda preciso usá-lo, eu sei, mas teoricamente)?
Tenho pesquisado há dias e qualquer explicação detalhada, link ou artigo, exemplo, seria apreciada.
Responder1
Quando se trata de Winlogon, você pode usar qualquer um deles. É apenas uma maneira diferente de indicar a identidade da conta do usuário.
O próprio nome da conta SAM é apenas o nome de usuário. Neste caso, USERA. Quando você adiciona o domínio, como DOMAIN\USERA, ele se torna o que chamamos denome de logon de nível inferior. O nome da conta SAM sempre será usado no nome de logon de nível inferior, onde o UPN pode ser diferente.
Onde a UPN seria diferente? Como você disse, o limite de caracteres pode resolver isso. Você também pode ter um domínio diferente para o seu Active Directory, comoempresa.local, do que seus e-mails,empresa.com. Pedir às pessoas para fazerem logon com "[e-mail protegido]" então fica confuso.
O que é melhor para os usuários usarem? Dependendo dos aplicativos que você usa, você pode preferir um ou outro. Por exemplo, alguns sistemas podem exigir que os usuários façam logon explicitamente com seu UPN, ou alguns sistemas legados podem aceitar apenas nomes de contas SAM.
Responder2
O UPN é uma conveniência usada para localizar o domínio. Isso é útil em ambientes com vários domínios, pois samAccountName pode não ser exclusivo na floresta. Se um nível funcional de domínio for 2012 R2 ou superior, o UPN será imposto para ser exclusivo na floresta. O UPN pode ser mais conveniente para os usuários se eles puderem fazer logon com seu endereço de e-mail em vez de seu domínio\samAccountName, e pode ser maior que o comprimento máximo do usuário samAccountName de 20 caracteres. Em ambientes com vários domínios, o uso do UPN torna a movimentação de contas de usuário transparente porque o usuário não precisa fazer logon usando o novo nome de domínio para sua conta, o que pode facilitar migrações e consolidações de domínio.
Depois que o domínio é localizado, o nome de domínio e samAccountName é o que é usado e aparece em quase todos os eventos de segurança para autenticação e acesso a recursos.
Algumas APIs da Microsoft exigem samAccountName.
Para ligações LDAP, se um nome corresponder ao UPN de um objeto e ao samAccountName de outro objeto, o objeto com a correspondência UPN será usado, em vez de falhar.
Especificação técnica do Active Directory
https://msdn.microsoft.com/en-us/library/cc223122.aspx