web-dev-qa-db-ja.com

ユーザープリンシパル名とSAMアカウント名

ユーザープリンシパル名(UPN)とSAMアカウント名(SAM)の間で混乱しています。私が知っていることはここにあります

SAM-

  1. Windows NTマシンなどとの下位互換性のためのプレウィンドウ名.

  2. DOMAIN/USERAは、ドメインDOMAIN内でUSERAを検索するため、ドメイン内で一意です。

  3. 長さ20文字。

UPN-

  1. メール形式(ユーザーにとって覚えやすい形式)。

  2. 文字数制限はありません。

  3. ドメインが再構築されている場合でも、UPNは同じです。たとえば、UPN [email protected]を持つユーザーがドメインDOMAINにな​​いが、ドメインBにいる場合でも、UPNがグローバルカタログを参照するため、ユーザーは引き続き長くなります( GC)、ユーザーをログインさせます。

しかし、私はこれについてあまり明確ではないように感じます。これら2つがどのように機能するかについてより良い考えがあり、説明できれば、それは本当に役に立ちます。

Windowsユーザーはユーザーをどのログイン方法でログオンできますか? UPNまたはSAM?

SAMは下位互換性以外に特別なことはありませんか?

それで、すべてのDCがWindows Server 2012 R2である場合、理論的にはSAMアカウント名は必要ありません(私はまだそれを使用する必要がありますが、理論的には)もうですか?

私は日々研究しており、詳細な説明、リンク、記事、例をいただければ幸いです。

windowsactive-directorywindows-server-2012-r2user-accounts
4
Abhilash Mamidela

Winlogonに関しては、どちらでも使用できます。これは、ユーザーアカウントのIDを示す別の方法にすぎません。

SAMアカウント名自体はユーザー名にすぎません。この場合、USERA。 DOMAIN\USERAのようなドメインを追加すると、それは ダウンレベルログオン名 と呼ばれるものになります。 SAMアカウント名は、UPNが異なる場合がある下位レベルのログオン名で常に使用されます。

UPNはどこが違うのでしょうか?あなたが言ったように、文字制限はそれをすることができます。また、company.localのように、電子メールcompanyとは異なるActive Directoryのドメインを使用している場合もあります。 com。 「[email protected]」でログオンするように人々に要求すると、混乱を招きます。

ユーザーはどちらを使用する方が良いですか?使用しているアプリケーションに応じて、どちらか一方を使用できます。たとえば、一部のシステムでは、ユーザーがUPNで明示的にログオンする必要がある場合や、一部のレガシーシステムではSAMアカウント名しか受け付けない場合があります。

2
Stephen Sennett

UPNは、ドメインの検索に使用される便利な機能です。 samAccountNameはフォレスト内で一意ではない可能性があるため、これはマルチドメイン環境で役立ちます。ドメインの機能レベルが2012 R2以上の場合、UPNはフォレスト内で一意になるように強制されます。 UPNは、ユーザーがdomain\samAccountNameではなく電子メールアドレスでログオンできる場合に便利です。ユーザーのsamAccountNameの最大長である20文字より長くすることができます。マルチドメイン環境では、ユーザーはアカウントの新しいドメイン名を使用してログオンする必要がないため、UPNを使用するとユーザーアカウントの移動が透過的になり、ドメインの移行と統合が容易になります。

ドメインが見つかると、ドメイン名とsamAccountNameが使用され、認証とリソースへのアクセスのほとんどすべてのセキュリティイベントに表示されます。

一部のMicrosoft APIにはsamAccountNameが必要です。

LDAPバインドの場合、名前が1つのオブジェクトのUPNと別のオブジェクトのsamAccountNameの両方に一致する場合、失敗するのではなく、UPNが一致するオブジェクトが使用されます。

Active Directory技術仕様
https://msdn.Microsoft.com/en-us/library/cc223122.aspx

1
Greg Askew