web-dev-qa-db-fra.com

Nom d'utilisateur principal vs nom de compte SAM

Je suis confus entre le nom d'utilisateur principal (UPN) et le nom de compte SAM (SAM). Voici ce que je sais

SAM-

  1. Nom avant la fenêtre, pour une compatibilité descendante avec les machines Windows NT, etc.

  2. DOMAIN/USERA, recherche USERA dans le domaine DOMAIN, il est donc unique dans le domaine.

  3. 20 caractères de long.

UPN-

  1. Dans le format de style e-mail (plus facile à mémoriser pour l'utilisateur).

  2. Aucune limite de caractères.

  3. UPN est le même, même si le domaine est restructuré, par exemple, même si l'utilisateur ayant UPN [email protected], n'est pas dans le domaine DOMAIN mais dans le DOMAINE B, l'utilisateur peut encore longtemps car l'UPN fait référence au catalogue global ( GC) et connecte l'utilisateur.

Mais je sens que je ne suis pas trop clair à ce sujet. Il serait vraiment utile que quelqu'un ait une meilleure idée de la façon dont ces deux fonctionnent et puisse expliquer.

Quelle méthode de connexion l’utilisateur Windows utilise-t-il pour se connecter? UPN ou SAM?

SAM ne fait-il rien d'autre que la compatibilité descendante?

Est-il donc possible que si tous mes dcs soient Windows Server 2012 R2, je n'ai théoriquement plus besoin du nom de compte SAM (je dois encore l'utiliser, je sais, mais théoriquement)?

Je fais des recherches depuis des jours et toute explication détaillée, lien ou article, exemple serait apprécié.

4
Abhilash Mamidela

En ce qui concerne Winlogon, vous pouvez utiliser l'un ou l'autre. C'est juste une manière différente d'indiquer l'identité du compte d'utilisateur.

Le nom de compte SAM lui-même n'est que le nom d'utilisateur. Dans ce cas, USERA. Lorsque vous ajoutez le domaine, comme DOMAIN\USERA, il devient ce que l'on appelle nom de connexion de niveau inférieur . Le nom de compte SAM sera toujours utilisé dans le nom de connexion de niveau inférieur, où l'UPN peut être différent.

Où l'UPN serait-il différent? Comme vous l'avez dit, la limite de caractères peut le faire. Vous pouvez également avoir un domaine différent pour votre Active Directory, comme company.local , que vos e-mails, company. com . Demander aux gens de se connecter avec "[email protected]" devient alors déroutant.

Quel est le meilleur choix pour les utilisateurs? Selon les applications que vous utilisez, vous pouvez préférer l'une ou l'autre. Par exemple, certains systèmes peuvent obliger les utilisateurs à se connecter explicitement avec leur UPN, ou certains systèmes hérités peuvent uniquement accepter les noms de compte SAM.

2
Stephen Sennett

L'UPN est une commodité utilisée pour localiser le domaine. Ceci est utile dans les environnements multi-domaines, car samAccountName peut ne pas être unique dans la forêt. Si un niveau fonctionnel de domaine est 2012 R2 ou supérieur, l'UPN est appliqué pour être unique dans la forêt. L'UPN peut être plus pratique pour les utilisateurs s'ils peuvent se connecter avec leur adresse e-mail au lieu de leur domaine\samAccountName, et il peut être plus long que la longueur maximale de l'utilisateur samAccountName de 20 caractères. Dans les environnements multi-domaines, l'utilisation de l'UPN rend le déplacement des comptes utilisateur transparent car l'utilisateur n'a pas besoin de se connecter en utilisant le nouveau nom de domaine pour son compte, ce qui peut faciliter les migrations et les consolidations de domaine.

Une fois le domaine localisé, le nom de domaine et samAccountName sont ceux qui sont utilisés et apparaissent dans presque tous les événements de sécurité pour l'authentification et l'accès aux ressources.

Certaines API Microsoft nécessitent le samAccountName.

Pour les liaisons LDAP, si un nom correspond à la fois à un UPN d'un objet et au samAccountName d'un autre objet, l'objet avec la correspondance UPN sera utilisé, plutôt que d'échouer.

Spécifications techniques Active Directory
https://msdn.Microsoft.com/en-us/library/cc223122.aspx

1
Greg Askew