Jos*_*ley 55 windows active-directory user-accounts
我正在尝试解决一个模糊的身份验证错误并需要一些背景信息。
Windows(以及 Outlook 等程序)的处理方式DOMAIN\username与username@domain.local?
这两种用户名格式的正确术语是什么?
编辑:特别是,Windows 对两种用户名格式进行身份验证的方式有什么不同吗?
Har*_*ton 46
假设您有一个 Active Directory 环境:
我相信反斜杠格式 DOMAIN\USERNAME 将在域 DOMAIN 中搜索 SAM 帐户名为 USERNAME 的用户对象。
UPN 格式 username@domain 将在林中搜索用户主体名称为 username@domain 的用户对象。
现在,通常情况下,SAM 帐户名称为 USERNAME 的用户帐户的 UPN 为 USERNAME@DOMAIN,因此任何一种格式都应找到相同的帐户,至少在 AD 功能齐全的情况下。如果存在复制问题或无法访问全局编录,反斜杠格式可能会在 UPN 格式失败的情况下起作用。也可能存在反向适用的(异常)条件 - 例如,可能无法访问目标域的域控制器。
但是:您也可以显式配置用户帐户以拥有一个 UPN,其用户名组件与 SAM 帐户名称不同,并且其域组件与域名称不同。
Active Directory 用户和计算机中的帐户选项卡在“用户登录名”标题下显示 UPN,在“用户登录名(Windows 2000 之前)”标题下显示 SAM 帐户名。因此,如果您遇到特定用户的问题,我会检查这两个值之间是否没有任何差异。
注意:如果我上面描述的搜索没有找到用户帐户,则可能会进行其他搜索。例如,可能将指定的用户名转换为其他格式(以明显的方式)以查看是否匹配。还必须有一些过程来查找不在林中的受信任域中的帐户。我不知道在哪里/是否记录了确切的行为。
只是为了使故障排除进一步复杂化,默认情况下,Windows 客户端将缓存有关成功交互式登录的信息,这样即使无法访问 Active Directory 中的用户帐户信息,您也可以登录到同一客户端。
Rya*_*ies 25
我可能会对此进行纠正,但实际上并没有太大区别。
Domain\User 是“旧”登录格式,称为下级登录名。也称为SAMAccountName和pre-Windows 2000 登录名。
User@Domain.com 是UPN - 用户主体名称。这是“首选”的较新登录格式。这是一个 Internet 样式的登录名,应该映射到用户电子邮件名称。(参考 MSDN)
我认为使用 UPN 登录的原因主要是装饰性的 - 它们假设为您公司中的用户提供一个单一名称,用于登录到他们的工作站,该名称也可以作为他们的公司电子邮件地址。
编辑:更多详细说明 - UPN 的另一个优点是您可以设置多个有效 UPN 供用户登录。再次,主要是化妆品。但重要的是,并非所有应用程序都与 UPN 兼容,这可能就是您遇到的情况。
编辑 #2:我喜欢 Harry Johnston 在下面关于执行的两种略有不同的搜索格式的回答。这是有道理的,最重要的是,它实际上可能解释了您的问题。:)
小智 6
斜线格式 ( DOMAIN\username) 实际上相当于NetBIOS域的 DNS 名称 ( domain.mycompany.local)。
名称NetBIOS限制为 15 个字符,不能包含点、下划线等。
此页面更详细地解释:
正如 @harry-johnston 上面提到的,它实际上只是旧的 NT4 和 Windows 2000 兼容格式,但它似乎一直是人们最喜欢的格式(它的打字次数更少!)。最终,Windows 可能会不再支持旧格式。
让用户养成使用 UPN 格式的习惯可能是个好主意,因为它还可以避免用户在使用用户名登录 PC 时遇到问题并且没有意识到 Windows 登录框已默认为本地登录的问题。 PC 域(例如pc01\fred)或当它们连接到不同的远程桌面主机并且必须记住包含域及其用户名时,因为远程桌面客户端可能会缓存另一个以前使用的域名。每次都坚持使用 UPN 格式最终只会减少支持电话的数量。
| 归档时间: |
|
| 查看次数: |
230199 次 |
| 最近记录: |