Warum kann sich ein Benutzer über mehr als einen UPN anmelden?

7

Ich habe das UPN-Suffix eines Unternehmens für alle Benutzer von us.mycompany.localauf mycompany.comgeändert, um anspruchsbezogene Anwendungen zu verwenden. Beim Testen vor der Änderung stellte ich fest, dass sich ein Benutzer erfolgreich mit dem alten Suffix authentifizieren konnte, selbst wenn ich das UPN-Suffix änderte. Was ich nicht verstehe ist, warum das immer noch funktioniert.

active-directory windows-authentication adfs Jim B.
quelle
Haben Sie das auf einer frischen Maschine versucht? Ich nehme an, Sie sehen wahrscheinlich nur zwischengespeicherte Anmeldungen.
MDMarra
1
Ich bin ein wenig verwirrt darüber, was Sie fragen. Sie können alternative UPN-Suffixe hinzufügen , aber Sie können den Standardwert von [email protected] nicht entfernen, wobei my.domain.com der tatsächliche DNS-Name der Domäne ist, zu der der Benutzer gehört. Versuchen Sie das zu tun?
Ryan Ries
1
Ich habe gerade getestet und konnte mich sowohl mit dem impliziten UPN als auch mit dem expliziten UPN anmelden, was wahrscheinlich beabsichtigt ist. Ich vermute, dass Sie sich immer mit dem impliziten UPN und nur einem expliziten UPN anmelden können, wenn mehrere explizite UPNs definiert sind.
Joeqwerty
Als Update funktioniert dies jetzt auch mit der Funktion für alternative Anmeldeinformationen von adfs 2012
Jim B,

Antworten:

12

Die obigen Kommentare von Ryan und Joe sind zielgerichtet. Es hört sich so an, als würden sich Ihre Benutzer mit ihren impliziten UPNs anmelden. Ist der FQDN Ihrer Domain us.mycompany.local?

In Active Directory verfügt jeder Benutzer über zwei UPNs:

  1. Expliziter UPN (eUPN): Dies ist der Wert des userPrincipalNameAttributs des Benutzerobjekts . Dies kann in einen beliebigen Wert geändert werden, unabhängig von alternativen UPN-Suffixen, die Sie in der Gesamtstruktur konfiguriert haben.

  2. Impliziter UPN (iUPN): Dies wird erstellt, indem der Wert des samAccountNameAttributs des Benutzerobjekts mit dem Wert des vollqualifizierten Domänennamens der Domäne verknüpft wird. Der FQDN wird als der Wert des gespeicherten dnsRootAttribut der die Domäne crossRefan gespeicherten Objekts LDAP://CN=DOMAIN_NETBIOS_NAME,CN=Partitions,CN=Configuration,DC=DOMAIN)

Jorge de Almeida Pinto, ein DS MVP, hat eine Reihe von Beiträgen, die viel detaillierter sind:

EDIT 1:

Es ist auch erwähnenswert, dass die eUPN "gewinnt", wenn es einen Konflikt gibt. Stellen Sie sich zum Beispiel das folgende (wenn auch lächerliche) Szenario vor:

  • Domainname: example.com
  • SamAccountName von Benutzer1: user1
  • UserPrincipalName (eUPN) von User2: [email protected]

Wenn Sie versuchen, sich mit dem Benutzernamen anzumelden [email protected], werden Sie als angemeldet User2. Wenn Sie jedoch Benutzer2 userPrincipalNamein etwas anderes ändern , werden Sie als angemeldet User1.

EDIT 2:

Weitere Informationen pro MS: MSKB929272: Interaktive Anmeldestile und Key Distribution Center- Kontosuche in Windows Server 2003

charleswj81
quelle
Tolle Antwort, und die Links bieten großartige Details - gut gemacht.
Jim B
Richard Mueller (MVP Directory Services) hat dies in dieser TechNet-Antwort angesprochen: 2015-04-06, Zwei Konten mit demselben UPN in Active Directory . (Archiv hier .) - Er verwendet den Begriff >> "default" UPN << statt implict UPN / iUPN. (Die doppelten Anführungszeichen sind auch im ursprünglichen Beitrag.)
StackzOfZtuff
0

Es könnte eines von zwei Dingen sein:

  1. Das neue UPN wird als alternatives UPN hinzugefügt, und das Original bleibt erhalten.
  2. Der alte UPN wird als hinzugefügt Domain name (pre-Windows 2000)und ist funktionsfähig

Gehen Sie zu Active Directory Domains and Trustsund überprüfen Sie die UPNs und die Vorfenstereinstellungen.

Espen Olsen
quelle