ユーザーが複数のUPNを介してログインできるのはなぜですか?
要求に対応するアプリケーションを使用するために、会社のすべてのユーザーのUPNサフィックスをus.mycompany.localからmycompany.comに変更しました。変更前のテストで、UPNサフィックスを変更しても、ユーザーが古いサフィックスを使用して正常に認証できることがわかりました。私が理解していないのは、これがまだ機能する理由です。
上記のRyanとJoeのコメントは目標通りです。ユーザーがImplicitUPNを使用してログインしているようです。ドメインのFQDNはus.mycompany.localですか?
Active Directoryでは、各ユーザーに2つのUPNがあります。
明示的なUPN(eUPN):これは、ユーザーオブジェクトの
userPrincipalName属性の値です。これは、フォレストで構成した代替UPNサフィックスに関係なく、任意の値に変更できます。暗黙のUPN(iUPN):これは、ユーザーオブジェクトの
samAccountName属性の値とドメインのFQDNの値を連結することによって構築されます。 FQDNは、LDAP://CN=DOMAIN_NETBIOS_NAME,CN=Partitions,CN=Configuration,DC=DOMAINに保存されているドメインのdnsRootオブジェクトのcrossRef属性の値として保存されます。
DS MVPのJorge de Almeida Pintoは、より詳細な一連の投稿をしています。
- https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-1
- https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-2
- https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-
編集1:
競合がある場合、eUPNが「勝つ」ことにも注意する必要があります。たとえば、次の(とんでもない)シナリオを考えてみます。
- ドメイン名:
example.com - User1のsamAccountName:
user1 - User2のuserPrincipalName(eUPN):
[email protected]
ユーザー名[email protected]を使用してログインしようとすると、User2としてログインします。ただし、User2のuserPrincipalNameを他のものに変更すると、User1としてサインインします。
編集2:
MSごとの詳細情報: MSKB929272:対話型ログオンスタイルとWindows Server 2003でのキー配布センターアカウントの検索
次の2つのうちのいずれかになります。
- 新しいUPNが代替UPNとして追加され、元のUPNがまだ残っています。
- 古いUPNは
Domain name (pre-Windows 2000)として追加され、機能します
Active Directory Domains and Trustsに移動し、UPNとプレウィンドウ設定を確認します。