active-directory – 为什么用户可以通过多个UPN登录?

前端之家收集整理的这篇文章主要介绍了active-directory – 为什么用户可以通过多个UPN登录?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我已将公司的所有用户UPN后缀从us.mycompany.local更改为mycompany.com,以便使用声明感知应用程序.在更改之前的测试中,我发现即使我更改了UPN后缀,用户也可以使用旧后缀成功进行身份验证.我不明白为什么这仍然有效.
Ryan和Joe的上述评论都是针对目标的.听起来您的用户使用其隐式UPN登录.您的域名是FQDN us.mycompany.local吗?

在Active Directory中,每个用户都有两个UPN:

>显式UPN(eUPN):这是用户对象的userPrincipalName属性的值.无论您在林中配置了任何备用UPN后缀,都可以将其更改为任何值.
>隐式UPN(iUPN):这是通过将用户对象的samAccountName属性的值与域的FQDN的值连接而构造的. FQDN存储为存储在LDAP的域的crossRef对象的dnsRoot属性的值:// CN = DOMAIN_NETBIOS_NAME,CN = Partitions,CN = Configuration,DC = DOMAIN)

DS MVP的Jorge de Almeida Pinto有一系列更详细的帖子:

> https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-1
> https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-2
> https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-3

编辑1:

值得注意的是,如果发生冲突,eUPN会“赢”.例如,考虑以下(虽然荒谬)场景:

>域名:example.com
> User1的samAccountName:user1
> User2的userPrincipalName(eUPN):user1@example.com

如果您尝试使用用户名user1@example.com登录,则您将以User2身份登录.但是,如果您将User2的userPrincipalName更改为其他任何名称,您将以User1身份登录.

编辑2:

更多信息每MS:MSKB929272: Interactive logon styles and Key Distribution Center account lookup in Windows Server 2003

原文链接:https://www.f2er.com/windows/369642.html

猜你在找的Windows相关文章