sAMAccountName usado para usuários conectados

4

Quando o RDP é enviado para um servidor, muitas vezes descubro que não há sessões disponíveis, pois há usuários atualmente conectados. Em nosso ambiente, utilizamos uma solução de gerenciamento de privilégios de usuário que cria contas de domínio gerenciadas. Por uma razão ou outra, a solução preencherá o sAMAccountName (nome de logon anterior ao Windows 2000) com um valor aleatório semelhante ao seguinte: $ 1LB100-465HL3IJKL4

É o sAMAccountName que é exibido ao mostrar os usuários logados atuais em vez do nome legível do usuário.

Existe uma maneira de forçar o Windows a exibir o UPN em vez do sAMAccountName porque, do jeito que estamos, não podemos dizer quem está realmente conectado e isso causa problemas ao decidir qual sessão será finalizada.

Abaixo está uma captura de tela que explica o meu ponto:

Com o sAMAccountName sendo exibido em vez do UPN, os usuários não conseguem identificar facilmente quem está conectado e, portanto, quem pode ou não desconectar a sessão. Existe uma maneira de o Windows exibir o UPN do usuário conectado em vez do sAMAccountName?

Obrigado antecipadamente.

    
por JLPH 16.12.2014 / 13:59

1 resposta

5

OK, é bastante sério hacky mexer com sAMAccountName é definido na especificação do Windows:

link

link

Ele existe por razões de compatibilidade, e não consigo pensar honestamente em um bom motivo para atropelá-lo - você pode modificar seu esquema LDAP e adicionar atributos e campos personalizados. Mas se você alterou algo que é por definição supostamente outra coisa, então todos os tipos de coisas vão se quebrar de várias maneiras.

Você não desejaria usar o UPN, porque isso é definido pelas especificações do Kerberos e pode realmente ser bastante longo - e, portanto, não é muito útil para uma exibição na tela.

O que você realmente quer é um valor único por conta, que é curto. Qual é o sAMAccountName é definido como. Se você não conseguir que seu software de gerenciamento de segurança use outra coisa, sugiro que você SERIAMENTE considere descartá-lo e obter um que não seja ruim *.

Eu aprecio que isso está se desviando para o campo da "opinião", mas eu justificaria isso como um administrador de sistemas profissional - isso é exatamente o tipo de coisa que torna os sistemas pouco confiáveis, imprevisível e instável, e que você deve apenas nunca fazer.

    
por 16.12.2014 / 14:37