OK, é bastante sério hacky mexer com sAMAccountName
é definido na especificação do Windows:
Ele existe por razões de compatibilidade, e não consigo pensar honestamente em um bom motivo para atropelá-lo - você pode modificar seu esquema LDAP e adicionar atributos e campos personalizados. Mas se você alterou algo que é por definição supostamente outra coisa, então todos os tipos de coisas vão se quebrar de várias maneiras.
Você não desejaria usar o UPN, porque isso é definido pelas especificações do Kerberos e pode realmente ser bastante longo - e, portanto, não é muito útil para uma exibição na tela.
O que você realmente quer é um valor único por conta, que é curto. Qual é o sAMAccountName
é definido como. Se você não conseguir que seu software de gerenciamento de segurança use outra coisa, sugiro que você SERIAMENTE considere descartá-lo e obter um que não seja ruim *.