Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Атрибуты именования пользователей определяют объекты пользователей, такие как имена входа и идентификаторы, используемые для обеспечения безопасности. Атрибуты cn, name и distinguishedName являются примерами атрибутов именования пользователей. Объект пользователя — это объект субъекта безопасности, поэтому он также включает следующие атрибуты именования пользователей:
- userPrincipalName — имя входа для пользователя
- objectGUID — уникальный идентификатор пользователя
- sAMAccountName — имя входа, которое поддерживает предыдущую версию Windows
- objectSid — идентификатор безопасности пользователя
- sIDHistory — предыдущие идентификаторы SID для объекта пользователя
Примечание.
Этими атрибутами можно просматривать и управлять с помощью оснастки MMC "Пользователи и компьютеры Active Directory", которая доступна в средствах удаленного администрирования сервера (RSAT).
userPrincipalName
Атрибут userPrincipalName — это имя входа для пользователя. Атрибут состоит из имени участника-пользователя (UPN), которое является наиболее распространенным именем входа для пользователей Windows. Пользователи обычно используют UPN для входа в домен. Этот атрибут представляет собой индексированную строку, которая является однозначной.
UPN — это интернет-стиль имя для входа, согласно стандарту RFC 822. UPN короче, чем полное имя, и легче запоминается. По соглашению это должно соответствовать имени электронной почты пользователя. Цель UPN — объединение пространств имен для электронной почты и входа, чтобы пользователь запоминал только одно имя.
Формат имени пользователя.
Идентификатор УПИ состоит из префикса УПИ (имя учетной записи пользователя) и суффикса УПИ (DNS-доменное имя). Префикс объединяется с суффиксом с помощью символа "@". Например, "someone@ example.com". Универсальное имя пользователя должно быть уникальным среди всех объектов безопасности в лесу каталога. Это означает, что префикс UPN можно повторно использовать, только не с тем же суффиксом.
Суффикс UPN имеет следующие ограничения:
- Оно должно быть DNS-именем домена, но не должно быть именем домена, содержащего пользователя.
- Это должно быть имя домена в дереве доменов текущего домена или альтернативное имя, указанное в атрибуте upnSuffixes контейнера Partitions в контейнере конфигурации.
Управление UPN
Имя участника (UPN) можно назначить, но это не является обязательным при создании учетной записи пользователя. При создании UPN, он остается неизменным при изменении других атрибутов объекта пользователя, таких как переименование или перемещение пользователя. Это позволяет пользователю сохранять то же имя входа, если каталог переструктурирован. Однако администратор может изменить UPN. При создании нового объекта пользователя необходимо проверить локальный домен и глобальный каталог для предлагаемого имени, чтобы убедиться, что он еще не существует.
Когда пользователь использует UPN для входа в домен, UPN проверяется путем поиска в локальном домене, а затем в глобальном каталоге. Если универсальное имя пользователя не найдено в глобальном каталоге, попытка входа оканчивается неудачей.
objectGUID
Атрибут objectGUID является уникальным идентификатором пользователя. Атрибут представляет собой однозначный 128-разрядный глобальный уникальный идентификатор (GUID) и хранится в виде структуры ADS_OCTET_STRING. Guid создается сервером Active Directory при создании пользовательского объекта.
Так как различающееся имя объекта изменяется при переименовании или перемещении объекта, различающееся имя не является надежным идентификатором объекта. В службах домен Active Directory атрибут objectGUID объекта никогда не изменяется, даже если объект переименован или перемещен. Вы можете получить строковую форму objectGUID с помощью метода свойства GUID в методах свойств IADs.
sAMAccountName
Атрибут sAMAccountName — это имя входа, используемое для поддержки клиентов и серверов из предыдущей версии Windows, таких как Windows NT 4.0, Windows 95, Windows 98 и LAN Manager. Имя входа должно иметь длину 20 или меньше символов и быть уникальным среди всех объектов субъекта безопасности в домене.
objectSid
Атрибут objectSid — это идентификатор безопасности пользователя. Идентификатор безопасности используется системой для идентификации пользователя и их членства в группах во время взаимодействия с безопасностью Windows. Атрибут имеет однозначное значение. Идентификатор безопасности — это уникальное двоичное значение, используемое для идентификации пользователя в качестве субъекта безопасности.
Идентификатор безопасности устанавливается системой при создании пользователя. Каждый пользователь имеет уникальный идентификатор безопасности, выданный доменом Windows, и хранится в атрибуте objectSid объекта пользователя в каталоге. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности пользователя из каталога и помещает его в маркер доступа пользователя. Идентификатор безопасности пользователя также используется для получения идентификаторов безопасности для групп, в которых пользователь является членом, и помещает их в маркер доступа пользователя. Если идентификатор безопасности используется в качестве уникального идентификатора пользователя или группы, его нельзя использовать повторно для идентификации другого пользователя или группы.
sIDHistory
Атрибут sIDHistory содержит предыдущие идентификаторы SID для объекта пользователя. Это многозначный атрибут. Объект пользователя имеет предыдущие SID, если пользователь был перемещен в другой домен. При каждом перемещении объекта пользователя в новый домен создается новый SID и назначается атрибуту objectSid, а предыдущий SID добавляется в атрибут sIDHistory.