我對使用者主體名稱 (UPN) 和 SAM 帳戶名稱 (SAM) 感到困惑。這是我所知道的
薩姆-
Windows 之前的名稱,用於向後相容於 Windows NT 機器等。
DOMAIN/USERA,在網域 DOMAIN 內尋找 USERA,因此它在網域中是唯一的。
20 個字元長。
UPN-
採用電子郵件樣式格式(使用者更容易記住)。
沒有字元限制。
即使網域重組,UPN 也是相同的,例如,即使使用者俱有 UPN[電子郵件受保護],不在網域 DOMAIN 中,但在 DOMAIN B 中,使用者仍然可以長時間使用,因為 UPN 引用全域目錄 (GC) 並使使用者登入。
但我感覺我對這個還不是太清楚。如果有人更了解這兩者是如何運作的並且可以解釋,那將非常有幫助。
windows用戶使用哪種登入方式來登入使用者? UPN 還是 SAM?
除了向後相容之外,SAM 沒有特別的功能嗎?
那麼,如果我所有的 DC 都是 Windows Server 2012 R2,理論上我不再需要 SAM 帳戶名稱(我知道,但理論上我仍然需要使用它),有可能嗎?
我幾天來一直在研究,任何詳細的解釋、連結或文章、範例將不勝感激。
答案1
當涉及到 Winlogon 時,您可以使用其中任何一個。這只是聲明用戶帳戶身份的不同方式。
SAM 帳戶名稱本身就是使用者名稱。在這種情況下,USERA。當您新增網域(例如 DOMAIN\USERA)時,它就變成了所謂的下級登入名稱。 SAM 帳戶名稱將始終用在下級登入名稱中,其中 UPN 可以不同。
UPN 有何不同?正如你所說,字符限制可以做到這一點。您的 Active Directory 可能還具有不同的網域,例如公司.本地,比你的電子郵件,公司網站。要求人們使用“登入”[電子郵件受保護]」 然後就變得混亂了。
哪個更適合使用者使用?根據您使用的應用程序,您可能更喜歡其中一種。例如,某些系統可能要求使用者明確使用其 UPN 登錄,或某些舊系統可能僅接受 SAM 帳戶名稱。
答案2
UPN 可以方便地用於定位域。這在多域環境中非常有用,因為 samAccountName 在林中可能不是唯一的。如果網域功能等級為 2012 R2 或更高,則強制 UPN 在林中唯一。如果使用者可以使用電子郵件地址而不是網域\samAccountName 登錄,則 UPN 可能會更方便,並且 UPN 的長度可以超過使用者 samAccountName 的最大長度 20 個字元。在多網域環境中,使用 UPN 使行動用戶帳戶變得透明,因為用戶不需要使用其帳戶的新網域登錄,這可以促進網域遷移和整合。
找到網域後,幾乎所有安全事件中都會使用網域和 samAccountName 來進行驗證和存取資源。
某些 Microsoft API 需要 samAccountName。
對於 LDAP 綁定,如果名稱同時與一個物件的 UPN 和另一個物件的 samAccountName 匹配,則將使用 UPN 匹配的對象,而不是失敗。
活動目錄技術規範
https://msdn.microsoft.com/en-us/library/cc223122.aspx