Udostępnij za pośrednictwem

Atrybuty nazewnictwa użytkowników

  • Artykuł

Atrybuty nazewnictwa użytkowników identyfikują obiekty użytkownika, takie jak nazwy logowania i identyfikatory używane do celów bezpieczeństwa. Atrybuty cn, namei distinguishedName to przykłady atrybutów nazewnictwa użytkowników. Obiekt użytkownika jest obiektem podmiotu zabezpieczeń, dlatego zawiera również następujące atrybuty nazewnictwa użytkownika:

  • userPrincipalName — nazwa logowania użytkownika
  • objectGUID — unikatowy identyfikator użytkownika
  • sAMAccountName — nazwa logowania, która obsługuje poprzednią wersję systemu Windows
  • objectSid — identyfikator zabezpieczeń (SID) użytkownika
  • sIDHistory — poprzednie identyfikatory SI dla obiektu użytkownika

Notatka

Te atrybuty można wyświetlać i zarządzać nimi za pomocą przystawki MMC użytkowników i komputerów usługi Active Directory, która jest dostępna w narzędzia administracji zdalnej serwera (RSAT).

userPrincipalName

Atrybut userPrincipalName jest nazwą logowania użytkownika. Atrybut składa się z głównej nazwy użytkownika (UPN), która jest najczęstszą nazwą logowania dla użytkowników systemu Windows. Użytkownicy zazwyczaj używają swojej nazwy UPN do logowania się do domeny. Ten atrybut jest ciągiem indeksowanym, który jest jednowarty.

Nazwa UPN to nazwa logowania w stylu internetowym dla użytkownika oparta na standardzie internetowym RFC 822. Nazwa UPN jest krótsza niż nazwa wyróżniająca i łatwiejsza do zapamiętania. Zgodnie z konwencją powinno to odnosić się do nazwy e-mail użytkownika. Celem UPN jest konsolidacja przestrzeni nazw e-mail i logowania, aby użytkownik musiał zapamiętać tylko jedną nazwę.

UPN Format

Nazwa UPN składa się z prefiksu nazwy UPN (nazwy konta użytkownika) i sufiksu nazwy UPN (nazwy domeny DNS). Prefiks jest sprzężony z sufiksem przy użyciu symbolu "@". Na przykład "someone@ example.com". Nazwa UPN musi być unikatowa wśród wszystkich obiektów zasad zabezpieczeń w lesie katalogowym. Oznacza to, że prefiks nazwy UPN może być ponownie używany, ale nie z tym samym sufiksem.

Sufiks nazwy UPN ma następujące ograniczenia:

  • Musi to być nazwa DNS domeny, ale nie musi być nazwą domeny, która zawiera użytkownika.
  • Musi być nazwą domeny w bieżącym lesie domen albo alternatywną nazwą wymienioną w atrybutzie upnSuffixes w kontenerze Partitions w kontenerze Configuration.

Zarządzanie UPN

UPN można przypisać, ale nie jest to wymagane przy tworzeniu konta użytkownika. Po utworzeniu nazwy UPN nie ma to wpływu na zmiany w innych atrybutach obiektu użytkownika, takich jak zmiana nazwy użytkownika lub przeniesienie go. Dzięki temu użytkownik może zachować taką samą nazwę logowania, jeśli katalog zostanie zrestrukturyzowany. Jednak administrator może zmienić UPN. Podczas tworzenia nowego obiektu użytkownika należy sprawdzić domenę lokalną i wykaz globalny proponowanej nazwy, aby upewnić się, że jeszcze nie istnieje.

Gdy użytkownik używa nazwy UPN do logowania się do domeny, nazwa UPN jest weryfikowana przez wyszukanie domeny lokalnej, a następnie wykazu globalnego. Jeśli nazwa UPN nie zostanie znaleziona w wykazie globalnym, próba logowania zakończy się niepowodzeniem.

objectGUID

Atrybut objectGUID jest unikatowym identyfikatorem użytkownika. Atrybut jest jednowartościowym 128-bitowym unikatowym identyfikatorem globalnym (GUID) i jest przechowywany jako struktura ADS_OCTET_STRING. Identyfikator GUID jest tworzony przez serwer usługi Active Directory podczas tworzenia obiektu użytkownika.

Ponieważ nazwa wyróżniająca obiektu zmienia się, jeśli obiekt został zmieniony lub przeniesiony, nazwa wyróżniająca nie jest wiarygodnym identyfikatorem obiektu. W usługach Active Directory Domain Services atrybut objectGUID obiektu nigdy się nie zmienia, nawet jeśli obiekt został zmieniony lub przeniesiony. Możesz pobrać postać ciągu objectGUID przy użyciu metody właściwości identyfikatora GUID w IADs Property Methods .

sAMAccountName

Atrybut sAMAccountName jest nazwą logowania używaną do obsługi klientów i serwerów z poprzedniej wersji systemu Windows, takich jak Windows NT 4.0, Windows 95, Windows 98 i LAN Manager. Nazwa logowania musi mieć maksymalnie 20 znaków i być unikatowa wśród wszystkich obiektów zabezpieczeń w domenie.

objectSid

Atrybut objectSid jest identyfikatorem zabezpieczeń (SID) użytkownika. Identyfikator SID jest używany przez system do identyfikowania użytkownika i ich członkostwa w grupach podczas interakcji z zabezpieczeniami systemu Windows. Atrybut jest jednowarty. Identyfikator SID to unikatowa wartość binarna używana do identyfikowania użytkownika jako podmiotu zabezpieczeń.

Identyfikator SID jest ustawiany przez system podczas tworzenia użytkownika. Każdy użytkownik ma unikatowy identyfikator SID wystawiony przez domenę systemu Windows i przechowywany w objectSid atrybutu obiektu użytkownika w katalogu. Za każdym razem, gdy użytkownik loguje się, system pobiera identyfikator SID użytkownika z katalogu i umieszcza go w tokenie dostępu użytkownika. Identyfikator SID użytkownika jest również używany do pobierania identyfikatorów SID dla grup, których użytkownik jest członkiem i umieszcza je w tokenie dostępu użytkownika. Jeśli identyfikator SID został użyty jako unikatowy identyfikator użytkownika lub grupy, nie można go ponownie użyć do identyfikacji innego użytkownika lub grupy.

sIDHistory

Atrybut sIDHistory zawiera poprzednie identyfikatory SI dla obiektu użytkownika. Jest to atrybut wielowarty. Obiekt użytkownika ma poprzednie identyfikatory SID, jeśli użytkownik został przeniesiony do innej domeny. Za każdym razem, gdy obiekt użytkownika zostanie przeniesiony do nowej domeny, zostanie utworzony i przypisany objectSid atrybut, a poprzedni identyfikator SID zostanie dodany do atrybutu sIDHistory.

atrybuty obiektu użytkownika