Gibt es einen Unterschied zwischen DOMAIN \ username und [email protected]?

46

Ich versuche, einen obskuren Authentifizierungsfehler zu beheben, und benötige Hintergrundinformationen.

  • Gibt es einen Unterschied zwischen der Verarbeitung von Windows (und Programmen wie Outlook) DOMAIN\usernameund [email protected]?

  • Was sind die richtigen Begriffe für diese beiden Benutzernamenformate?

  • Bearbeiten : Gibt es insbesondere Unterschiede in der Authentifizierung der beiden Benutzernamenformate durch Windows?

windows active-directory user-accounts Josh Kelley
quelle
Sie könnten an einer meiner vorherigen Fragen interessiert sein .
Belmin Fernandez

Antworten:

38

Angenommen, Sie haben eine Active Directory-Umgebung:

Ich glaube, dass das Backslash-Format DOMAIN \ USERNAME die Domain DOMAIN nach einem Benutzerobjekt durchsucht, dessen SAM-Kontoname USERNAME ist.

Das UPN-Format "Benutzername @ Domäne" durchsucht die Gesamtstruktur nach einem Benutzerobjekt, dessen Benutzerprinzipalname "Benutzername @ Domäne" lautet.

Nun, normalerweise ein Benutzerkonto mit einem SAM - Kontonamen von NUTZERNAME hat ein UPN von Benutzername @ domain, also entweder Format des gleiche Konto finden soll, zumindest die AD vorgesehen voll funktionsfähig ist. Wenn Replikationsprobleme vorliegen oder Sie keinen globalen Katalog erreichen können, funktioniert das Backslash-Format möglicherweise in Fällen, in denen das UPN-Format fehlschlägt. Es kann auch (abnormale) Bedingungen geben, unter denen das Gegenteil zutrifft - beispielsweise, wenn für die Zieldomäne keine Domänencontroller erreicht werden können.

Sie können ein Benutzerkonto jedoch auch explizit so konfigurieren, dass es einen UPN hat, dessen Benutzername-Komponente sich vom SAM-Kontonamen und dessen Domänen-Komponente vom Namen der Domäne unterscheidet.

Auf der Registerkarte Konto in Active Directory-Benutzer und -Computer wird der UPN unter der Überschrift "Benutzeranmeldename" und der SAM-Kontoname unter der Überschrift "Benutzeranmeldename (vor Windows 2000)" angezeigt. Wenn Sie also Probleme mit bestimmten Benutzern haben, würde ich prüfen, ob zwischen diesen beiden Werten keine Diskrepanzen bestehen.

Hinweis: Es ist möglich, dass zusätzliche Suchen durchgeführt werden, wenn bei der oben beschriebenen Suche das Benutzerkonto nicht gefunden wird. Beispielsweise wird der angegebene Benutzername möglicherweise (auf offensichtliche Weise) in ein anderes Format konvertiert, um festzustellen, ob dies zu einer Übereinstimmung führt. Es muss auch ein Verfahren zum Suchen von Konten in vertrauenswürdigen Domänen vorhanden sein, die sich nicht in der Gesamtstruktur befinden. Ich weiß nicht wo / ob das genaue Verhalten dokumentiert ist.

Um die Problembehandlung noch weiter zu vereinfachen, speichern Windows-Clients standardmäßig Informationen über erfolgreiche interaktive Anmeldungen im Cache, sodass Sie sich möglicherweise auch dann bei demselben Client anmelden können, wenn auf Ihre Benutzerkontoinformationen in Active Directory nicht zugegriffen werden kann.

Harry Johnston
quelle
1
Diese Antwort gefällt mir besser als meine. Schön gemacht.
Ryan Ries
Wenn Sie AD mit ldapsearch abfragen, finden Sie den untergeordneten Anmeldenamen im Attribut msDS-PrincipalName, den Sie explizit anfordern müssen, da es sich um ein "Betriebsattribut" handelt.
Eric
22

Ich werde vielleicht korrigiert, aber es gibt keinen großen Unterschied.

Domäne \ Benutzer ist das "alte" Anmeldeformat, das als Anmeldename auf untergeordneter Ebene bezeichnet wird . Auch unter den Namen SAMAccountName und Anmeldename vor Windows 2000 bekannt .

[email protected] ist ein UPN - User Principal Name . Es ist das "bevorzugte", neuere Anmeldeformat. Es handelt sich um einen Anmeldenamen im Internetstil, der dem E-Mail-Namen des Benutzers entsprechen sollte. ( Ref. Bei MSDN )

Die Gründe für die Anmeldung mit UPNs sind meines Erachtens hauptsächlich kosmetischer Natur. Sie geben Ihren Benutzern in Ihrem Unternehmen hypothetisch einen einzigen Namen, mit dem sie sich an ihren Arbeitsstationen anmelden können, die auch als E-Mail-Adresse für das Unternehmen fungieren können.

Bearbeiten: Mehr Ausarbeitung - Ein weiterer Vorteil von UPNs ist, dass Sie mehr als einen gültigen UPN einrichten können, mit dem sich Ihre Benutzer anmelden können. Auch hier weitgehend kosmetisch. Wichtig ist jedoch, dass nicht alle Anwendungen mit UPNs kompatibel sind. Dies ist möglicherweise der Fall.

edit # 2: Ich mag Harry Johnstons Antwort bezüglich der zwei leicht unterschiedlichen Suchformate. Es macht Sinn und vor allem könnte es Ihr Problem erklären. :)

Ryan Ries
quelle
3
UPNs werden in RFC 822 "Standard für das Format von ARPA-Internet-Textnachrichten" nicht erwähnt. UPNs sind eine "Erfindung" von Active Directory, die Kerberos- und LDAP-Informationen miteinander verbindet, um Single-Sign-On-Dienste (SSO) in einer Domäne (oder einem "Bereich") der zugeordneten Computersysteme bereitzustellen.
19.
Tut mir leid, ich habe meine Informationen von msdn.microsoft.com/en-us/library/windows/desktop/ erhalten ... Ich bearbeite meine Antwort, wenn ich die richtige finde.
Ryan Ries
1
@adaptr RFC 822 wurde vor 10 Jahren veraltet - siehe RFC 2822.
Jim B
@ Ryan, ich denke, das Active Directory wird auf unterschiedliche Weise nach den beiden verschiedenen Formaten durchsucht - siehe meine Antwort.
Harry Johnston
@JimB Ich denke, Sie werden feststellen, dass RFC822 NICHT veraltet ist. Sowohl RFC2822 als auch der aktuelle RFC 5322 beziehen sich darauf, sowie eine Vielzahl anderer E-Mail- und inhaltsbezogener RFCs (5321 für Anfänger).
20.
1

Das durchgestrichene Format ( DOMAIN\username) NetBIOSentspricht dem DNS-Namen der Domäne ( domain.mycompany.local).
Der NetBIOSName ist auf 15 Zeichen begrenzt und darf keine Punkte, Unterstriche usw. enthalten.

Diese Seite erklärt im Detail:
* Jeff Schertz, 2012-08-20, Grundlegendes zu Active Directory - Namensformate (Archiv hier .)

Wie von @ harry-johnston oben erwähnt, ist es wirklich nur das alte NT4- und Windows 2000-kompatible Format, aber es scheint als Lieblingsformat geblieben zu sein (es ist weniger zu tippen!). Möglicherweise wird das Legacy-Format von Windows unterstützt.

Es ist wahrscheinlich eine gute Idee, Benutzer an die Verwendung des UPN-Formats zu gewöhnen, da dadurch auch Probleme vermieden werden, bei denen sie Probleme haben, sich mit ihrem Benutzernamen bei einem PC anzumelden, und nicht bemerken, dass das Windows-Anmeldefeld standardmäßig den lokalen Wert verwendet PC-Domäne (z. B. pc01\fred) oder wenn sie eine Verbindung zu verschiedenen Remotedesktop-Hosts herstellen und nicht vergessen müssen, die Domäne sowie ihren Benutzernamen anzugeben, da der Remotedesktop-Client möglicherweise einen anderen zuvor verwendeten Domänennamen zwischenspeichert. Jedes Mal das UPN-Format beizubehalten, führt letztendlich nur zu weniger Supportanrufen.

Trichrom
quelle
Es ist unwahrscheinlich, dass das "alte Format" wegfällt, da es für Nicht-AD-Umgebungen immer noch verwendet wird. ( Host\usernameNatürlich keine Domains ohne AD)
MSalters
-1

Es gibt definitiv einen Unterschied zwischen diesen beiden, nur 99% der Benutzer werden kein Problem damit haben. Ich werde versuchen, den Unterschied zu erklären und wann ein solches Problem auftreten kann.

Wenn Sie beim Versuch, auf ein Dateifreigabeverfahren zuzugreifen, Domäne \ Benutzername verwenden, wird die Domäne zuerst von DNS aufgelöst und anschließend der Benutzername überprüft. Wenn Sie den Benutzernamen @ domain verwenden, wird direkt geprüft, ob sich der Benutzer in der ACL (Zugriffssteuerungsliste) befindet und Zugriff hat. Was macht es also aus, dass du denkst? Stellen Sie sich Folgendes vor:

1 Domänencontroller mit dem Namen DC01 und alle Clients erhalten DNS und befinden sich in dieser Domäne. Sie möchten migrieren und jemand hat einen anderen Server mit demselben Namen hinzugefügt. Der letztgenannte Server wird auch zu einem DC, sodass das lokale SAM nicht mehr verwendet wird und auch eine Dateifreigabe hat.

Wenn die Benutzer eine Verbindung zum Server herstellen, werden sie zur Eingabe von Anmeldeinformationen aufgefordert. Wenn Sie Domäne \ Benutzername verwenden, wird zuerst die aktuelle Domäne überprüft, anstatt die neue Domäne zu verwenden, und wir haben Konten aus der neuen Domäne auf der Dateifreigabe verwendet. Sobald es den aktuellen DC gefunden hat und den Benutzernamen überprüft, kann es nicht gefunden werden. (Selbst wenn der Benutzername und das Passwort gefunden werden und exakt gleich sind, funktioniert dies nicht, da der Benutzername nicht verwendet wird, um zu überprüfen, ob dies in der ACL zulässig ist, aber die SID verwendet wird. Die Seite wird am erstellt Benutzererstellungszeit in AD und Sie haben eine Änderung von 1 in einer Billion, dass es das gleiche ist, toll huh :-P).

Andre Boom
quelle
-1. Ich kann wirklich nicht folgen, was du hier sagst. Wo sagen Sie "Wenn die Benutzer eine Verbindung zum Server herstellen"? Welchen Server meinen Sie, den alten DC01 oder den neuen DC01? Was ist mit dem alten DC01 überhaupt passiert, wurde es außer Betrieb genommen, umbenannt, aus der Domain entfernt oder was? Wurde es zuerst richtig herabgestuft? Was meinen Sie mit "neuer Domain", da Sie die Erstellung einer neuen Domain zu keinem Zeitpunkt beschrieben haben? Wenn Sie "domain \ username" verwenden, sollte die angegebene Domain immer durchsucht werden. Beschreiben Sie einen Fall, in dem dies nicht der Fall ist?
Harry Johnston
"Der Benutzername wird nicht verwendet, um zu überprüfen, ob er in der ACL zulässig ist, die SID wird jedoch verwendet" ist das erwartete Verhalten. Dies sollte immer erfolgen, unabhängig davon, ob Sie "domain \ username" oder "username @ domain" verwenden. Sprechen Sie von einem Fall, in dem es zwei gleichnamige oder ähnlich pathologische Domänen gibt?
Harry Johnston
DNS wird zuerst die Domain auflösen und dann den Benutzernamen überprüfen . DNS überprüft den Benutzernamen? Was?
Fähre