web-dev-qa-db-fra.com

Une différence entre DOMAIN \ username et [email protected]?

J'essaie de résoudre une erreur d'authentification obscure et j'ai besoin de quelques informations générales.

  • Y a-t-il une différence entre la façon dont Windows (et des programmes comme Outlook) traitent DOMAIN\username et [email protected]?

  • Quels sont les termes appropriés pour ces deux formats de nom d'utilisateur?

  • Modifier : En particulier, y a-t-il des différences dans la façon dont Windows authentifie les deux formats de nom d'utilisateur?

48
Josh Kelley

En supposant que vous disposez d'un environnement Active Directory:

Je crois que le format de barre oblique inverse DOMAIN\USERNAME recherchera le domaine DOMAIN pour un objet utilisateur dont le nom de compte SAM est USERNAME.

Le nom d'utilisateur @ domaine au format UPN recherchera dans la forêt un objet utilisateur dont le nom de principe d'utilisateur est nom d'utilisateur @ domaine.

Maintenant, normalement un compte d'utilisateur avec un nom de compte SAM de USERNAME a un UPN de USERNAME @ DOMAIN, donc l'un ou l'autre format doit localiser le même compte, au moins à condition que l'AD soit entièrement fonctionnel. S'il y a des problèmes de réplication ou si vous ne pouvez pas accéder à un catalogue global, le format de barre oblique inverse peut fonctionner dans les cas où le format UPN échouera. Il peut également y avoir des conditions (anormales) dans lesquelles l'inverse s'applique - peut-être si aucun contrôleur de domaine ne peut être atteint pour le domaine cible, par exemple.

Cependant: vous pouvez également configurer explicitement un compte d'utilisateur pour avoir un UPN dont le composant de nom d'utilisateur est différent du nom de compte SAM et dont le composant de domaine est différent du nom du domaine.

L'onglet Compte dans Utilisateurs et ordinateurs Active Directory affiche l'UPN sous le titre "Nom de connexion utilisateur" et le nom de compte SAM sous le titre "Nom de connexion utilisateur (avant Windows 2000)". Donc, si vous rencontrez des problèmes avec des utilisateurs particuliers, je vérifierais qu'il n'y a pas de divergence entre ces deux valeurs.

Remarque: il est possible que des recherches supplémentaires soient effectuées si la recherche que je décris ci-dessus ne trouve pas le compte d'utilisateur. Par exemple, le nom d'utilisateur spécifié est peut-être converti dans l'autre format (de manière évidente) pour voir si cela produit une correspondance. Il doit également y avoir une procédure pour rechercher des comptes dans des domaines approuvés qui ne sont pas dans la forêt. Je ne sais pas où/si le comportement exact est documenté.

Juste pour compliquer davantage le dépannage, les clients Windows mettront par défaut en cache les informations sur les ouvertures de session interactives réussies, afin que vous puissiez vous connecter au même client même si les informations de votre compte d'utilisateur dans Active Directory sont inaccessibles.

39
Harry Johnston

Je peux être corrigé à ce sujet, mais il n'y a pas vraiment de différence.

Domaine\Utilisateur est le "vieux" format de connexion, appelé nom de connexion de niveau inférieur . Également connu sous les noms SAMAccountName et nom de connexion antérieur à Windows 2000.

[email protected] est un UPN - nom d'utilisateur principal . Il s'agit du nouveau format de connexion "préféré". Il s'agit d'un nom de connexion de style Internet, qui doit correspondre au nom de messagerie de l'utilisateur. ( Réf. Sur MSDN )

Je pense que les raisons pour lesquelles vous vous connectez avec des UPN sont principalement cosmétiques - elles donnent hypothétiquement à vos utilisateurs de votre entreprise un nom unique avec lequel se connecter à leurs postes de travail qui peuvent également servir d'adresse e-mail d'entreprise.

edit: Plus d'élaboration - un autre avantage des UPN est que vous pouvez configurer plus d'un UPN valide pour que vos utilisateurs se connectent. Encore une fois, largement cosmétique. Mais l'important est que toutes les applications ne sont pas compatibles avec les UPN, et c'est peut-être ce que vous rencontrez.

edit # 2: J'aime la réponse de Harry Johnston ci-dessous à propos des deux formats de recherche légèrement différents effectués. Cela a du sens et, surtout, cela pourrait en fait expliquer votre problème. :)

22
Ryan Ries

Le format barré (DOMAIN\username) est en fait l'équivalent NetBIOS du nom DNS du domaine (domain.mycompany.local).
Le nom NetBIOS est limité à 15 caractères et ne peut pas contenir de points, de soulignements, etc.

Cette page explique plus en détail:
* Jeff Schertz, 2012-08-20, Présentation des formats de dénomination Active Directory (Archivé ici .)

Comme mentionné par @ harry-johnston ci-dessus, c'est vraiment juste l'ancien format compatible NT4 et Windows 2000 mais il semble être resté comme un format préféré (c'est moins à taper!). Finalement, la prise en charge du format hérité peut aller de Windows.

C'est probablement une bonne idée de donner aux utilisateurs l'habitude d'utiliser le format UPN car cela évite également les problèmes où ils ont des problèmes pour se connecter à un PC avec leur nom d'utilisateur et ne se rendent pas compte que la boîte de connexion Windows a par défaut la valeur locale. Domaine PC (par exemple, pc01\fred) ou lorsqu'ils se connectent à différents hôtes de bureau à distance et doivent se rappeler d'inclure le domaine ainsi que leur nom d'utilisateur car le client de bureau à distance peut mettre en cache un autre nom de domaine précédemment utilisé. Le fait de s'en tenir au format UPN à chaque fois permet à la fin de réduire les appels d'assistance.

1
Trichromic