Nome principal do usuário vs nome da conta SAM

Navegue suas respostas
2

Estou confuso entre o nome principal do usuário (UPN) e o nome da conta SAM (SAM). Aqui está o que eu sei

SAM -

  1. Nome pré-windows, para compatibilidade com versões anteriores de máquinas Windows NT, etc.

  2. DOMAIN / USERA, procura USERA dentro do domínio DOMAIN, por isso é único em   o domínio.

  3. 20 caracteres.

UPN -

  1. No formato de estilo de e-mail (mais fácil para o usuário lembrar).

  2. Sem limite de caracteres.

  3. UPN é o mesmo, mesmo se o domínio for reestruturado, por exemplo, mesmo que o o usuário que tem o UPN [email protected], não está no domínio DOMAIN, mas no DOMAIN B o usuário ainda pode demorar porque o UPN refere-se ao Catálogo Global (GC) e registra o usuário em.

Mas eu sinto que não sou muito claro sobre isso. Seria realmente útil se alguém tivesse uma ideia melhor de como esses dois funcionam e poderiam explicar.

Qual método de login o usuário do windows deve registrar o usuário? UPN ou SAM?

O SAM não faz nada de especial além de compatibilidade com versões anteriores?

Então é possível que se todos os meus dcs forem windows server 2012 R2, eu teoricamente não preciso do nome da conta SAM (eu ainda tenho que usá-lo, eu sei, mas teoricamente) mais?

Eu tenho pesquisado a partir de agora e qualquer explicação detalhada, link ou artigo, exemplo seria apreciado.

    
por Abhilash Mamidela 27.08.2018 / 08:06

2 respostas

2

Quando se trata do Winlogon, você pode usar qualquer um deles. É apenas uma maneira diferente de indicar a identidade da conta do usuário.

O nome da conta SAM em si é apenas o nome de usuário. Neste caso, USERA. Quando você adiciona o domínio, como DOMAIN \ USERA, ele se torna o que é chamado de nome de logon de baixo nível . O nome da conta SAM sempre será usado no nome de logon de baixo nível, onde o UPN pode ser diferente.

Onde o UPN seria diferente? Como você disse, o limite de caracteres pode fazer isso. Você também pode ter um domínio diferente para o seu Active Directory, como company.local , do que seus e-mails, company.com . Pedir para as pessoas fazerem logon com "[email protected]" torna-se confuso.

Qual é melhor para os usuários usarem? Dependendo de quais aplicativos você tem em uso, você pode preferir um ou outro. Por exemplo, alguns sistemas podem exigir que os usuários efetuem logon com seu UPN explicitamente, ou alguns sistemas herdados só aceitam nomes de conta SAM.

    
por 27.08.2018 / 08:26
1

O UPN é uma conveniência usada para localizar o domínio. Isso é útil em ambientes de vários domínios, pois o samAccountName pode não ser exclusivo na floresta. Se um nível funcional de domínio for 2012 R2 ou superior, o UPN será imposto para ser exclusivo na floresta. O UPN pode ser mais conveniente para os usuários se eles puderem fazer logon com seu endereço de e-mail em vez de seu domínio \ samAccountName e ele pode ser maior que o tamanho máximo de 20 caracteres do usuário samAccountName. Em ambientes de vários domínios, o uso do UPN torna transparentes as contas de usuário em movimento, pois o usuário não precisa fazer logon usando o novo nome de domínio para sua conta, o que pode facilitar as migrações e consolidações de domínio.

Depois que o domínio é localizado, o nome do domínio e samAccountName são usados e aparecem em quase todos os eventos de segurança para autenticação e acesso a recursos.

Algumas APIs da Microsoft exigem o samAccountName.

Para ligações LDAP, se um nome corresponder a um UPN de um objeto e ao samAccountName de outro objeto, o objeto com a correspondência UPN será usado, em vez de falhar.

Especificação técnica do Active Directory link

    
por 27.08.2018 / 13:46

Tags

Montar URL como cdrom / iso KVM / QEMU RAID6 falhou instantaneamente e mudou para RAID0 - alguma chance de resgatar?