Active-Directory

為什麼一個使用者可以通過多個 UPN 登錄?

  • September 19, 2018

為了使用聲明感知應用程序,我已將公司的所有使用者 UPN 後綴從更改為us.mycompany.localmycompany.com在更改之前的測試中,我發現即使更改了 UPN 後綴,使用者也可以使用舊後綴成功進行身份驗證。我不明白為什麼這仍然有效。

Ryan 和 Joe 的上述評論是有針對性的。聽起來您的使用者正在使用他們的隱式UPN 登錄。是您域的 FQDNus.mycompany.local嗎?

在 Active Directory 中,每個使用者都有兩個 UPN:

  1. **顯式 UPN (eUPN):**這是使用者對象userPrincipalName屬性的值。這可以更改為任何值,無論您在林中配置了任何備用 UPN 後綴。
  2. **隱式 UPN (iUPN):**這是通過將使用者對象的samAccountName屬性值與域的 FQDN 值連接起來構造的。FQDN 儲存為dnsRootcrossRef對象的屬性值,儲存在LDAP://CN=DOMAIN_NETBIOS_NAME,CN=Partitions,CN=Configuration,DC=DOMAIN)

DS MVP 豪爾赫·德·阿爾梅達·平托 (Jorge de Almeida Pinto) 發表了一系列更詳細的文章:

編輯1:

還值得注意的是,如果發生衝突,eUPN 會“獲勝”。例如,考慮以下(儘管很荒謬)場景:

  • 域名:example.com
  • 使用者 1 的 samAccountName:user1
  • User2 的 userPrincipalName (eUPN):user1@example.com

如果您嘗試使用使用者名登錄user1@example.com,您將以User2. 但是,如果您將 User2 更改userPrincipalName為其他任何內容,您將以User1.

編輯2:

每個 MS 的更多資訊:MSKB929272:Windows Server 2003 中的互動式登錄樣式和密鑰分發中心帳戶查找

引用自:https://serverfault.com/questions/496152