Os comentários de Ryan e Joe acima estão no alvo. Parece que seus usuários estão fazendo login com seus UPNs Implicit . O FQDN% do seu domínio éus.mycompany.local
?
No Active Directory, cada usuário tem dois UPNs:
-
UPN explícito (eUPN): Esse é o valor do atributo
userPrincipalName
do objeto de usuário. Isso pode ser alterado para qualquer valor, independentemente de quaisquer sufixos UPN alternativos configurados na floresta. -
UPN implícito (iUPN): Isso é construído concatenando o valor do atributo
samAccountName
do objeto do usuário com o valor do FQDN do domínio. O FQDN é armazenado como o valor do atributodnsRoot
do objetocrossRef
do domínio armazenado emLDAP://CN=DOMAIN_NETBIOS_NAME,CN=Partitions,CN=Configuration,DC=DOMAIN
)
Jorge de Almeida Pinto, um MVP do DS, tem uma série de posts que detalham muito mais:
EDIT 1:
Também é importante notar que o eUPN "ganha" se houver um conflito. Por exemplo, considere o seguinte cenário (embora ridículo):
- Nome do domínio:
example.com
- samAccountName de User1:
user1
- userPrincipalName do User2 (eUPN):
[email protected]
Se você tentar fazer o login usando o nome de usuário [email protected]
, você estará logado como User2
. No entanto, se você alterar userPrincipalName
do User2 para qualquer outra coisa, você entraria como User1
.
EDIT 2:
Mais informações por MS: MSKB929272: Estilos de logon interativo e pesquisa de conta do Centro de Distribuição de Chaves no Windows Server 2003