為什麼一個使用者可以通過多個 UPN 登錄？

為了使用聲明感知應用程序，我已將公司的所有使用者 UPN 後綴從更改為us.mycompany.local。mycompany.com在更改之前的測試中，我發現即使更改了 UPN 後綴，使用者也可以使用舊後綴成功進行身份驗證。我不明白為什麼這仍然有效。

Ryan 和 Joe 的上述評論是有針對性的。聽起來您的使用者正在使用他們的隱式UPN 登錄。是您域的 FQDNus.mycompany.local嗎？

在 Active Directory 中，每個使用者都有兩個 UPN：

1. **顯式 UPN (eUPN)：**這是使用者對象userPrincipalName屬性的值。這可以更改為任何值，無論您在林中配置了任何備用 UPN 後綴。
2. **隱式 UPN (iUPN)：**這是通過將使用者對象的samAccountName屬性值與域的 FQDN 值連接起來構造的。FQDN 儲存為dnsRoot域crossRef對象的屬性值，儲存在LDAP://CN=DOMAIN_NETBIOS_NAME,CN=Partitions,CN=Configuration,DC=DOMAIN)

DS MVP 豪爾赫·德·阿爾梅達·平托 (Jorge de Almeida Pinto) 發表了一系列更詳細的文章：

• https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-1
• https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-2
• https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-3

編輯1：

還值得注意的是，如果發生衝突，eUPN 會“獲勝”。例如，考慮以下（儘管很荒謬）場景：

• 域名：example.com
• 使用者 1 的 samAccountName：user1
• User2 的 userPrincipalName (eUPN)：user1@example.com

如果您嘗試使用使用者名登錄user1@example.com，您將以User2. 但是，如果您將 User2 更改userPrincipalName為其他任何內容，您將以User1.

編輯2：

每個 MS 的更多資訊：MSKB929272：Windows Server 2003 中的互動式登錄樣式和密鑰分發中心帳戶查找

引用自：https://serverfault.com/questions/496152