在Active Directory中,每个用户都有两个UPN:
>显式UPN(eUPN):这是用户对象的userPrincipalName属性的值.无论您在林中配置了任何备用UPN后缀,都可以将其更改为任何值.
>隐式UPN(iUPN):这是通过将用户对象的samAccountName属性的值与域的FQDN的值连接而构造的. FQDN存储为存储在LDAP的域的crossRef对象的dnsRoot属性的值:// CN = DOMAIN_NETBIOS_NAME,CN = Partitions,CN = Configuration,DC = DOMAIN)
DS MVP的Jorge de Almeida Pinto有一系列更详细的帖子:
> https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-1
> https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-2
> https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-3
编辑1:
值得注意的是,如果发生冲突,eUPN会“赢”.例如,考虑以下(虽然荒谬)场景:
>域名:example.com
> User1的samAccountName:user1
> User2的userPrincipalName(eUPN):user1@example.com
如果您尝试使用用户名user1@example.com登录,则您将以User2身份登录.但是,如果您将User2的userPrincipalName更改为其他任何名称,您将以User1身份登录.
编辑2:
