it-swarm.com.de

Gibt es einen Unterschied zwischen DOMAIN \ username und [email protected]?

Ich versuche, einen obskuren Authentifizierungsfehler zu beheben, und benötige Hintergrundinformationen.

  • Gibt es einen Unterschied zwischen der Verarbeitung von Windows (und Programmen wie Outlook) DOMAIN\username und [email protected]?

  • Was sind die richtigen Begriffe für diese beiden Benutzernamenformate?

  • Bearbeiten: Gibt es insbesondere Unterschiede bei der Authentifizierung der beiden Benutzernamenformate durch Windows?

48
Josh Kelley

Angenommen, Sie haben eine Active Directory-Umgebung:

Ich glaube, dass das Backslash-Format DOMAIN\USERNAME die Domain DOMAIN nach einem Benutzerobjekt durchsucht, dessen SAM-Kontoname USERNAME ist.

Der Benutzername @ Domäne im UPN-Format durchsucht die Gesamtstruktur nach einem Benutzerobjekt, dessen Benutzerprinzipalname Benutzername @ Domäne lautet.

Nun, normalerweise ein Benutzerkonto mit dem SAM-Kontonamen USERNAME hat einen UPN von USERNAME @ DOMAIN, sodass in beiden Formaten dasselbe Konto gefunden werden sollte, zumindest vorausgesetzt, der AD ist voll funktionsfähig. Wenn Replikationsprobleme auftreten oder Sie keinen globalen Katalog erreichen können, funktioniert das Backslash-Format möglicherweise in Fällen, in denen das UPN-Format fehlschlägt. Es kann auch (abnormale) Bedingungen geben, unter denen das Gegenteil der Fall ist - möglicherweise, wenn beispielsweise keine Domänencontroller für die Zieldomäne erreicht werden können.

Sie können jedoch auch ein Benutzerkonto explizit so konfigurieren, dass es einen UPN hat, dessen Benutzername-Komponente sich vom SAM-Kontonamen unterscheidet und dessen Domänenkomponente sich vom Namen der Domäne unterscheidet.

Auf der Registerkarte Konto in Active Directory-Benutzer und -Computer wird der UPN unter der Überschrift "Benutzeranmeldename" und der SAM-Kontoname unter der Überschrift "Benutzeranmeldename (vor Windows 2000)" angezeigt. Wenn Sie also Probleme mit bestimmten Benutzern haben, würde ich überprüfen, ob zwischen diesen beiden Werten keine Diskrepanzen bestehen.

Hinweis: Es ist möglich, dass zusätzliche Suchvorgänge durchgeführt werden, wenn die oben beschriebene Suche das Benutzerkonto nicht findet. Beispielsweise wird der angegebene Benutzername möglicherweise (auf offensichtliche Weise) in das andere Format konvertiert, um festzustellen, ob dies zu einer Übereinstimmung führt. Es muss auch ein Verfahren zum Suchen von Konten in vertrauenswürdigen Domänen vorhanden sein, die sich nicht in der Gesamtstruktur befinden. Ich weiß nicht wo/ob das genaue Verhalten dokumentiert ist.

Um die Fehlerbehebung weiter zu erschweren, werden Windows-Clients standardmäßig Informationen zu erfolgreichen interaktiven Anmeldungen zwischenspeichern, sodass Sie sich möglicherweise bei demselben Client anmelden können, auch wenn auf Ihre Benutzerkontoinformationen im Active Directory nicht zugegriffen werden kann.

39
Harry Johnston

Ich werde vielleicht korrigiert, aber es gibt keinen wirklich großen Unterschied.

Domain\User ist das "alte" Anmeldeformat mit dem Namen untergeordneter Anmeldename . Auch bekannt unter den Namen SAMAccountName und Anmeldename vor Windows 2000.

[email protected] ist ein UPN - User Principal Name . Es ist das "bevorzugte", neuere Anmeldeformat. Es handelt sich um einen Anmeldenamen im Internet-Stil, der dem E-Mail-Namen des Benutzers zugeordnet werden sollte. ( Ref. Bei MSDN )

Die Gründe für die Anmeldung mit UPNs sind meiner Meinung nach hauptsächlich kosmetischer Natur. Sie geben Ihren Benutzern in Ihrem Unternehmen hypothetisch einen einzigen Namen, mit dem sie sich an ihren Arbeitsstationen anmelden können, die auch als Unternehmens-E-Mail-Adresse fungieren können.

edit: Mehr Ausarbeitung - Ein weiterer Vorteil von UPNs besteht darin, dass Sie mehr als einen gültigen UPN einrichten können, mit dem sich Ihre Benutzer anmelden können. Wieder weitgehend kosmetisch. Wichtig ist jedoch, dass nicht alle Anwendungen mit UPNs kompatibel sind.

edit # 2: Ich mag Harry Johnstons Antwort unten über die zwei leicht unterschiedlichen Suchformate. Es ist sinnvoll und vor allem könnte es Ihr Problem tatsächlich erklären. :) :)

22
Ryan Ries

Das durchgestrichene Format (DOMAIN\username) ist tatsächlich das NetBIOS Äquivalent des DNS-Namens der Domain (domain.mycompany.local).
Der Name NetBIOS ist auf 15 Zeichen begrenzt und darf keine Punkte, Unterstriche usw. enthalten.

Diese Seite erklärt ausführlicher:
* Jeff Schertz, 20.08.2012, Grundlegendes zu Active Directory-Namensformaten (Archiviert hier .)

Wie oben von @ harry-johnston erwähnt, ist es eigentlich nur das alte NT4- und Windows 2000-kompatible Format, aber es scheint als Lieblingsformat geblieben zu sein (es ist weniger zu tippen!). Möglicherweise wird die Unterstützung für das Legacy-Format von Windows übernommen.

Es ist wahrscheinlich eine gute Idee, Benutzer an die Verwendung des UPN-Formats zu gewöhnen, da dadurch auch Probleme vermieden werden, bei denen sie Probleme haben, sich mit ihrem Benutzernamen bei einem PC anzumelden, und nicht bemerken, dass das Windows-Anmeldefeld standardmäßig auf lokal eingestellt ist PC-Domain (zB pc01\fred) oder wenn sie eine Verbindung zu verschiedenen Remotedesktop-Hosts herstellen und daran denken müssen, die Domäne sowie ihren Benutzernamen anzugeben, da der Remotedesktop-Client möglicherweise einen anderen zuvor verwendeten Domänennamen zwischenspeichert. Wenn Sie sich jedes Mal an das UPN-Format halten, werden am Ende weniger Supportanrufe getätigt.

1
Trichromic