Por que um usuário pode efetuar login através de mais de um UPN?

Os comentários de Ryan e Joe acima estão no alvo. Parece que seus usuários estão fazendo login com seus UPNs Implicit . O FQDN% do seu domínio éus.mycompany.local?

No Active Directory, cada usuário tem dois UPNs:

1. UPN explícito (eUPN): Esse é o valor do atributo userPrincipalName do objeto de usuário. Isso pode ser alterado para qualquer valor, independentemente de quaisquer sufixos UPN alternativos configurados na floresta.

2. UPN implícito (iUPN): Isso é construído concatenando o valor do atributo samAccountName do objeto do usuário com o valor do FQDN do domínio. O FQDN é armazenado como o valor do atributo dnsRoot do objeto crossRef do domínio armazenado em LDAP://CN=DOMAIN_NETBIOS_NAME,CN=Partitions,CN=Configuration,DC=DOMAIN )

Jorge de Almeida Pinto, um MVP do DS, tem uma série de posts que detalham muito mais:

• link
• link
• link

EDIT 1:

Também é importante notar que o eUPN "ganha" se houver um conflito. Por exemplo, considere o seguinte cenário (embora ridículo):

• Nome do domínio: example.com
• samAccountName de User1: user1
• userPrincipalName do User2 (eUPN): [email protected]

Se você tentar fazer o login usando o nome de usuário [email protected] , você estará logado como User2 . No entanto, se você alterar userPrincipalName do User2 para qualquer outra coisa, você entraria como User1 .

EDIT 2:

Mais informações por MS: MSKB929272: Estilos de logon interativo e pesquisa de conta do Centro de Distribuição de Chaves no Windows Server 2003

Pode ser uma das duas coisas:

1. O novo UPN é adicionado como um UPN alternativo, e o original ainda permanece.
2. O UPN antigo é adicionado como Domain name (pre-Windows 2000) e será funcional

Vá para Active Directory Domains and Trusts e verifique o (s) UPN (s) e a configuração anterior à janela.