在我們日常工作中或者日常針對AD進行自動化開發的過程中,我們都會對UserPrincipalName與SamAccountName產生疑惑,畢竟很多時候大家都把這兩個屬性值理解為同一個概念,至於為什么總是說不清楚,今天就簡單歸總下該內容。
UserPrincipalName:指定要由客戶端進行身份驗證的服務的用戶主體名稱 (UPN)。一個用戶帳戶名(有時稱為“用戶登錄名”)和一個域名(標識用戶帳戶所在的域),這是登錄到Windows域的標准用法。格式是: xiaowen@azureyun.com (類電子郵件地址)。
SamAccountName:在AD屬性AMAccountName中,存儲帳戶登錄名或用戶對象,實際上是命名符號“Domain\LogonName ”中使用的舊NetBIOS表單,該屬性是域用戶對象的必需屬性;而SAMAccountName應始終與UPN主體名稱保持一致,即SAMAccountName必須等於屬性“UserPrincipalName” 的前綴部分。
UserPrincipalName:
- 用戶登錄名格式:xiaowen@azureyun.com
- 是基於Internet標准RFC 822的用戶Internet樣式登錄名;
- 在目錄林中的所有安全主體對象中應該是唯一的;
- UPN是可選的,在創建用戶帳戶時可指定也可不單獨指定;
SamAccountName:
- 與早期版本的Windows(pre-windows 2000)一起使用;
- 用戶登錄名格式:azureyun\xiaowen
- 不能超過20個字符;
- 在域中的所有安全主體對象中是唯一的;
舉例:
域名:azureyun.com
SamAccountName:xiaowen
NetBIOS登錄名:azureyun\xiaowen
UserPrincipalName:xiaowen@azureyun.com
例外情況可能是用戶將使用真實電子郵件地址登錄系統的環境。這里SAMAccountName可以與userPrincipalName不同:
域名:azureyun(NetBIOS)azureyun.com(DNS)
sAMAccountName:xiaowen
NetBIOS登錄名:azureyun\xiaowen
userPrincialName:xiao.wen@azureyun.local
Windows登錄名具有數據類型unicode字符串 - 從來沒有系統給出一些限制。名稱不能超過20個字符,並且不允許使用以下字符:\ / [] :; | =,+ *?<> @“
有關屬性內容請參考官鏈。
歡迎關注微信公眾號:小溫研習社
