Active-Directory
為什麼一個使用者可以通過多個 UPN 登錄?
為了使用聲明感知應用程序,我已將公司的所有使用者 UPN 後綴從更改為
us.mycompany.local
。mycompany.com
在更改之前的測試中,我發現即使更改了 UPN 後綴,使用者也可以使用舊後綴成功進行身份驗證。我不明白為什麼這仍然有效。
Ryan 和 Joe 的上述評論是有針對性的。聽起來您的使用者正在使用他們的隱式UPN 登錄。是您域的 FQDN
us.mycompany.local
嗎?在 Active Directory 中,每個使用者都有兩個 UPN:
- **顯式 UPN (eUPN):**這是使用者對象
userPrincipalName
屬性的值。這可以更改為任何值,無論您在林中配置了任何備用 UPN 後綴。- **隱式 UPN (iUPN):**這是通過將使用者對象的
samAccountName
屬性值與域的 FQDN 值連接起來構造的。FQDN 儲存為dnsRoot
域crossRef
對象的屬性值,儲存在LDAP://CN=DOMAIN_NETBIOS_NAME,CN=Partitions,CN=Configuration,DC=DOMAIN
)DS MVP 豪爾赫·德·阿爾梅達·平托 (Jorge de Almeida Pinto) 發表了一系列更詳細的文章:
- https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-1
- https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-2
- https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-3
編輯1:
還值得注意的是,如果發生衝突,eUPN 會“獲勝”。例如,考慮以下(儘管很荒謬)場景:
- 域名:
example.com
- 使用者 1 的 samAccountName:
user1
- User2 的 userPrincipalName (eUPN):
user1@example.com
如果您嘗試使用使用者名登錄
user1@example.com
,您將以User2
. 但是,如果您將 User2 更改userPrincipalName
為其他任何內容,您將以User1
.編輯2:
每個 MS 的更多資訊:MSKB929272:Windows Server 2003 中的互動式登錄樣式和密鑰分發中心帳戶查找