Я запутался между именем пользователя-основного пользователя (UPN) и именем учетной записи SAM (SAM). Вот что я знаю
СЭМ-
Название до Windows, для обратной совместимости с машинами Windows NT и т. д.
DOMAIN/USERA, ищет USERA внутри домена DOMAIN, поэтому он уникален в домене.
Длина 20 символов.
UPN-
В формате электронной почты (пользователю легче запомнить).
Ограничений по количеству символов нет.
UPN остается тем же, даже если домен реструктурирован, например, даже если пользователь имеет UPN[email protected], не находится в домене DOMAIN, но в DOMAIN B пользователь все равно может войти, поскольку UPN ссылается на глобальный каталог (GC) и регистрирует пользователя.
Но мне кажется, что я не совсем ясно это понимаю. Было бы очень полезно, если бы кто-то лучше представлял себе, как работают эти два понятия, и мог бы объяснить.
Какой метод входа в систему использует пользователь Windows? UPN или SAM?
Неужели SAM не делает ничего особенного, кроме обратной совместимости?
Так возможно ли, что если все мои контроллеры домена работают на базе Windows Server 2012 R2, мне теоретически больше не понадобится имя учетной записи SAM (я все равно должен его использовать, я знаю, но теоретически)?
Я занимаюсь исследованиями уже несколько дней и буду признателен за любые подробные объяснения, ссылки или статьи, примеры.
решение1
Когда дело доходит до Winlogon, вы можете использовать любой из них. Это просто другой способ указать личность учетной записи пользователя.
Имя учетной записи SAM само по себе является просто именем пользователя. В данном случае USERA. Когда вы добавляете домен, например DOMAIN\USERA, он становится тем, что называетсяимя входа нижнего уровняИмя учетной записи SAM всегда будет использоваться в имени входа нижнего уровня, где UPN может быть другим.
Где UPN будет отличаться? Как вы сказали, ограничение на количество символов может это сделать. У вас также может быть другой домен для вашего Active Directory, напримеркомпания.местная, чем ваши электронные письма,компания.com. Просить людей войти в систему с помощью "[email protected]" то это становится запутанным.
Что лучше для пользователей? В зависимости от используемых приложений вы можете предпочесть одно или другое. Например, некоторые системы могут требовать от пользователей явного входа с их UPN, или некоторые устаревшие системы могут принимать только имена учетных записей SAM.
решение2
UPN — это удобство, которое используется для поиска домена. Это полезно в многодоменных средах, поскольку samAccountName может быть не уникальным в лесу. Если функциональный уровень домена — 2012 R2 или выше, UPN принудительно становится уникальным в лесу. UPN может быть более удобным для пользователей, если они могут входить в систему, используя свой адрес электронной почты вместо своего domain\samAccountName, и он может быть длиннее, чем максимальная длина samAccountName пользователя в 20 символов. В многодоменных средах использование UPN делает перемещение учетных записей пользователей прозрачным, поскольку пользователю не нужно входить в систему, используя новое доменное имя для своей учетной записи, что может облегчить миграцию и консолидацию доменов.
После того, как домен найден, имя домена и samAccountName используются и появляются практически во всех событиях безопасности для аутентификации и доступа к ресурсам.
Для некоторых API Microsoft требуется samAccountName.
Для привязок LDAP, если имя совпадает как с UPN одного объекта, так и с samAccountName другого объекта, будет использоваться объект с совпадающим UPN, а не возникнет ошибка.
Техническая спецификация Active Directory
https://msdn.microsoft.com/en-us/library/cc223122.aspx