DOMAIN \ username ve username@domain.local arasında bir fark var mı?

Belirsiz bir kimlik doğrulama hatasını gidermeye çalışıyorum ve bazı arka plan bilgilerine ihtiyacım var.

• Nasıl Pencereler (ve Outlook gibi programlar) işlem arasında bir fark var mı DOMAIN\usernameve username@domain.local?

• Bu iki kullanıcı adı formatı için uygun terimler nelerdir?

• Düzenleme : Özellikle, Windows'un iki kullanıcı adı biçimini doğrulama biçiminde herhangi bir fark var mı?

Bir Active Directory ortamınız olduğunu varsayalım:

DOMAIN \ USERNAME alanının ters eğik çizgi biçiminin, SAM Hesap Adı KULLANICI ADI olan bir kullanıcı nesnesi için DOMAIN etki alanını arayacağına inanıyorum.

UPN formatı kullanıcı adı @ etki alanı, Kullanıcı İlke Adı kullanıcı adı @ etki alanı olan bir kullanıcı nesnesi için ormanda arama yapar.

Şimdi, normal olarak, SAM Hesabı Adı olan bir kullanıcı hesabının USERNAME adlı kullanıcı adı UPN USERNAME @ DOMAIN değerine sahip, bu nedenle her iki biçim de en azından AD'nin tam işlevsel olması koşuluyla aynı hesabı bulmalıdır. Çoğaltma sorunları varsa veya genel bir kataloğa erişemiyorsanız, ters eğik çizgi biçimi, UPN biçiminin başarısız olacağı durumlarda işe yarayabilir. Ayrıca, tersinin uygulandığı (anormal) koşullar da olabilir - örneğin hedef etki alanı için etki alanı denetleyicilerine erişilemiyorsa.

Bununla birlikte: bir kullanıcı hesabını, kullanıcı adı SAM Hesap Adından farklı ve etki alanı bileşeni alan adından farklı olan bir UPN'ye sahip olacak şekilde de yapılandırabilirsiniz.

Active Directory Kullanıcıları ve Bilgisayarları'ndaki Hesap sekmesi, "Kullanıcı oturum açma adı" başlığı altındaki UPN'yi ve "Kullanıcı oturum açma adı (Windows 2000 öncesi)" başlığı altındaki SAM Hesabı Adı'nı gösterir. Bu nedenle, belirli kullanıcılarla sorun yaşıyorsanız, bu iki değer arasında herhangi bir tutarsızlık olmadığını kontrol ederim.

Not: Yukarıda tanımladığım arama kullanıcı hesabını bulamazsa ek aramalar yapılabilir. Örneğin, belki de belirtilen kullanıcı adı, eşleşip eşleşmediğini görmek için diğer biçime (açık şekilde) dönüştürülür. Ormanda olmayan güvenilir etki alanlarında hesap bulmak için bazı prosedürler de olmalıdır. Tam davranışın nerede / ne şekilde belgelendiğini bilmiyorum.

Sorun gidermeyi daha da karmaşık hale getirmek için, Windows istemcileri varsayılan olarak başarılı etkileşimli oturum açmalarla ilgili önbellek bilgilerini kullanır; böylece, Active Directory'deki kullanıcı hesap bilgileriniz erişilemiyor olsa bile aynı istemcide oturum açabilirsiniz.

Bu konuda düzeltilmiş olabilirim, ama gerçekten bir fark yok.

Domain \ User, alt düzey oturum açma adı adı verilen "eski" oturum açma biçimidir . Ayrıca SAMAccountName ve Windows 2000 öncesi oturum açma adıyla da bilinir .

User@Domain.com bir UPN - Kullanıcı Asıl Adıdır . "Tercih edilen", daha yeni oturum açma formatı. Kullanıcının e-posta adıyla eşleşmesi gereken İnternet tarzı bir giriş adıdır. ( MSDN’de referans )

UPN'lerle giriş yapmanın nedenleri çoğunlukla kozmetiktir - şirketinizdeki kullanıcılara iş istasyonlarında oturum açabilecekleri ve şirket e-posta adreslerini de kullanabilecekleri tek bir ad olduğunu varsayımsal olarak belirtirler.

edit: Daha fazla ayrıntılandırma - UPN'lerin bir başka avantajı, kullanıcılarınızla oturum açmaları için birden fazla geçerli UPN ayarlayabilmenizdir. Yine, büyük ölçüde kozmetik. Ancak önemli olan, tüm uygulamaların UPN'lerle uyumlu olmaması ve yaşadığınız şey olabilir.

düzenleme # 2: Harry Johnston'ın aşağıdaki iki farklı arama biçimiyle ilgili cevabını seviyorum. Mantıklı ve en önemlisi probleminizi açıklayabilir. :)

Kesikli format ( DOMAIN\username) aslında NetBIOSetki alanının DNS adının ( domain.mycompany.local) eşdeğeridir . Adı 15 karakterle sınırlıdır ve noktalar, alt çizgiler vs. içeremez
NetBIOS

Bu sayfa daha ayrıntılı olarak açıklanmaktadır:
* Jeff Schertz, 2012-08-20, Active Directory Adlandırma Biçimlerini Anlama ( Burada arşivlendi .)

Yukarıda @ harry-johnston tarafından bahsedildiği gibi, gerçekten sadece eski NT4 ve Windows 2000 uyumlu format, ancak favori bir format olarak kalmış gibi görünüyor (yazması daha az!). Sonunda, eski format desteği Windows'tan gelebilir.

Kullanıcıları UPN formatını kullanma alışkanlığına sokmak iyi bir fikirdir, çünkü kullanıcı adlarıyla bir PC'ye giriş yapmakta zorlandıkları sorunları da önler ve Windows giriş kutusunun yerel olarak varsayılan olduğunu fark etmeyin. PC etki alanı (örn. pc01\fred) Veya farklı uzak masaüstü ana bilgisayarlarına bağlandıklarında ve Uzak Masaüstü İstemcisi daha önce kullanılan bir etki alanı adını önbelleğe alabileceğinden, etki alanı ve kullanıcı adlarını eklemeyi unutmayın. UPN formatına her seferinde yapıştırmak, sonuçta daha az destek çağrısı yapar.

Bu iki kişi arasında kesinlikle bir fark vardır, kullanıcıların sadece% 99'u bu konuda bir sorun yaşamaz. Farkı ve ne zaman böyle bir sorunun ortaya çıkabileceğini açıklamaya çalışacağım.

Bir dosya paylaşımına erişmeye çalıştığınızda domain \ username kullanırsanız, DNS önce etki alanını çözecek ve ardından kullanıcı adını kontrol edecektir. Username @ domain kullanıyorsanız, kullanıcının ACL'de olup olmadığını (erişim kontrol listesi) ve erişim olup olmadığını doğrudan kontrol edecektir. Öyleyse, ne düşünebilirsin ki ... iyi, şunu düşün:

1 adı DC01 olan etki alanı denetleyicisi ve tüm istemciler dns olsun ve bu etki alanında. Geçmek istiyorsunuz ve birisi aynı isimde başka bir sunucu ekledi. İkinci sunucu da bir DC olacaktır, böylece yerel SAM artık kullanılmayacak ve ayrıca bir dosya paylaşımı olacaktır.

Kullanıcılar sunucuya bağlanacaklarında kimlik bilgileri istenir. Eğer domain \ username kullanıyorsanız, önce yeni etki alanını kullanmak yerine mevcut etki alanını kontrol eder ve dosya paylaşımındaki yeni etki alanından hesapları kullanırız. Bu yüzden o anki dcı bulduktan ve bulunamadığı kullanıcı adını kontrol ettiğinde. (kullanıcı adı ve parola bulunsa ve aynı olsa bile, ACL'de izin verilip verilmediğini doğrulamak için kullanıcı adını kullanmayacağından, ancak SID'yi kullanacağından, aynı şekilde çalışmaz. AD'de kullanıcı oluşturma süresi ve aynı trilyonda 1 olan bir değişiklik var, bu harika, huh :-P).