Frage Gibt es einen Unterschied zwischen DOMAIN \ Benutzername und Nutzername@domain.local?


Ich versuche, einen unbekannten Authentifizierungsfehler zu beheben, und benötige Hintergrundinformationen.

  • Gibt es einen Unterschied zwischen Windows (und Programmen wie Outlook) DOMAIN\username und username@domain.local?

  • Was sind die richtigen Bedingungen für diese beiden Benutzernamenformate?

  • Bearbeiten: Gibt es Unterschiede in der Art und Weise, wie Windows die beiden Benutzernamenformate authentifiziert?


39
2018-03-19 13:28


Ursprung


Sie könnten an einem meiner interessiert sein Vorherige Frages. - Belmin Fernandez


Antworten:


Angenommen, Sie haben eine Active Directory-Umgebung:

Ich glaube, dass das Backslash-Format DOMÄNE \ BENUTZERNAME Domänen-DOMÄNE nach einem Benutzerobjekt durchsuchen wird, dessen SAM-Kontoname USERNAME ist.

Das UPN-Format username @ domain durchsucht die Gesamtstruktur nach einem Benutzerobjekt, dessen Benutzerprinzipalname username @ domain lautet.

Jetzt, normalerweise Ein Benutzerkonto mit einem SAM-Kontonamen von USERNAME hat einen UPN von USERNAME @ DOMAIN. Daher sollte jedes Format dasselbe Konto enthalten, sofern das AD vollständig funktionsfähig ist. Wenn Replikationsprobleme auftreten oder wenn Sie keinen globalen Katalog erreichen können, funktioniert das Backslash-Format möglicherweise in Fällen, in denen das UPN-Format fehlschlägt. Es kann auch (abnormale) Bedingungen geben, unter denen das Umgekehrte gilt - zum Beispiel, wenn für die Zieldomäne keine Domänencontroller erreichbar sind.

Allerdings: Sie können ein Benutzerkonto auch explizit so konfigurieren, dass es einen UPN aufweist, dessen Benutzername sich vom SAM-Kontonamen unterscheidet und dessen Domänenkomponente sich vom Namen der Domäne unterscheidet.

Auf der Registerkarte Konto in Active Directory-Benutzer und -Computer wird der UPN unter der Überschrift "Benutzeranmeldename" und der SAM-Kontoname unter der Überschrift "Benutzeranmeldename (vor Windows 2000)" angezeigt. Also, wenn Sie Probleme mit bestimmten Benutzern haben, würde ich überprüfen, dass es keine Diskrepanzen zwischen diesen beiden Werten gibt.

Hinweis: Es ist möglich, dass zusätzliche Suchen durchgeführt werden, wenn die oben beschriebene Suche das Benutzerkonto nicht findet. Zum Beispiel wird vielleicht der angegebene Benutzername in das andere Format (in der offensichtlichen Weise) umgewandelt, um zu sehen, ob dies eine Übereinstimmung erzeugt. Es muss auch ein Verfahren zum Suchen von Accounts in vertrauenswürdigen Domänen vorhanden sein, die sich nicht in der Gesamtstruktur befinden. Ich weiß nicht wo / ob das genaue Verhalten dokumentiert ist.

Um die Problembehandlung weiter zu erschweren, werden Windows-Clients standardmäßig Informationen über erfolgreiche interaktive Anmeldungen zwischenspeichern, sodass Sie sich möglicherweise am selben Client anmelden können, selbst wenn Ihre Benutzerkontoinformationen im Active Directory nicht verfügbar sind.


34
2018-03-20 03:28



Ich mag diese Antwort besser als meine. Schön gemacht. - Ryan Ries
Wenn Sie AD mit ldapsearch abfragen, finden Sie den down-level Anmeldenamen im Attribut msDS-PrincipalName, das Sie explizit anfordern müssen, da es sich um ein "operational attribute" handelt. - Eric


Ich werde vielleicht korrigiert, aber es gibt nicht wirklich einen Unterschied.

Domain \ User ist das "alte" Anmeldeformat, genannt Name der unteren Ebene der Anmeldung. Auch unter den Namen bekannt SAMAccountName und Pre-Windows 2000-Anmeldename.

User@Domain.com ist ein UPN - Benutzerprinzipalname. Es ist das "bevorzugte", neuere Anmeldeformat. Es ist ein Internet-ähnlicher Anmeldename, der dem E-Mail-Namen des Benutzers zugeordnet werden sollte. (Ref. bei MSDN)

Die Gründe für das Einloggen mit UPNs sind meiner Meinung nach meistens kosmetischer Natur - sie geben Ihren Benutzern in Ihrem Unternehmen hypothetisch einen Namen, mit dem sie sich an ihren Workstations anmelden können, der auch als ihre geschäftliche E-Mail-Adresse fungieren kann.

bearbeiten: Weitere Verbesserungen - Ein weiterer Vorteil von UPNs besteht darin, dass Sie mehr als einen gültigen UPN für Ihre Benutzer einrichten können. Auch hier überwiegend kosmetisch. Aber die wichtige Sache ist, dass nicht alle Anwendungen mit UPNs kompatibel sind, und das könnte sein, was Sie gerade erleben.

bearbeite # 2: Ich mag Harry Johnstons Antwort unten über die zwei leicht unterschiedlichen Suchformate. Es macht Sinn und vor allem könnte es Ihr Problem erklären. :)


18
2018-03-19 13:46



Es gibt keine Erwähnung von UPNs in RFC 822, "Standard für das Format von ARPA-Internet-Textnachrichten". UPNs sind eine Active Directory- "Erfindung", die Kerberos- und LDAP-Informationen miteinander verbindet, um Single-Sign-On-Dienste (SSO) für eine Domäne (oder einen "Bereich") zugehöriger Computersysteme bereitzustellen. - adaptr
Ah, tut mir leid - ich habe meine Informationen bekommen msdn.microsoft.com/de-de/library/windows/desktop/... ... Ich bearbeite meine Antwort, wenn ich die richtige finde. - Ryan Ries
@adaptr RFC 822 wurde vor 10 Jahren veraltet - siehe RFC 2822. - Jim B
@Ryan, ich denke, das Active Directory wird auf verschiedene Arten für die zwei verschiedenen Formate gesucht - siehe meine Antwort. - Harry Johnston
@ JimB Ich denke, du wirst feststellen, dass, RFC822 ist nicht veraltet; sowohl RFC2822 als auch der aktuelle RFC5322 verweisen darauf, ebenso wie eine Vielzahl anderer mail- und inhaltsbezogener RFCs (5321 für Starter). - adaptr


Das aufgeschnittene Format (DOMAIN\username) ist eigentlich der NetBIOS entspricht dem DNS-Namen der Domain (domain.mycompany.local).
Das NetBIOS Der Name ist auf 15 Zeichen begrenzt und darf keine Punkte, Unterstriche usw. enthalten.

Diese Seite erklärt genauer:
* Jeff Schertz, 2012-08-20, Grundlegendes zu Active Directory-Namensformaten (Archiviert Hier.)

Wie von @ Harry-Johnston oben erwähnt, ist es wirklich nur das alte NT4 und Windows 2000 kompatibles Format, aber es scheint, als ein Lieblingsformat (es ist weniger zu tippen!) Zu bleiben. Letztendlich kann die Unterstützung für das Legacy-Format von Windows aus erfolgen.

Es ist wahrscheinlich eine gute Idee, Benutzer dazu zu bringen, das UPN-Format zu verwenden, da Probleme vermieden werden, wenn sie Probleme haben, sich mit ihrem Benutzernamen an einem PC anzumelden und nicht merken, dass die Windows-Login-Box standardmäßig ist PC-Domäne (z. B. pc01\fred) oder wenn sie eine Verbindung zu verschiedenen Remote-Desktop-Hosts herstellen und daran denken, die Domäne sowie ihren Benutzernamen aufzunehmen, da der Remotedesktop-Client möglicherweise einen anderen zuvor verwendeten Domänennamen zwischenspeichern kann. Immer am UPN-Format zu bleiben, macht am Ende nur weniger Support-Anrufe.


0
2017-12-16 13:56



Es ist unwahrscheinlich, dass das "alte Format" wegfällt, da es immer noch für Nicht-AD-Umgebungen verwendet wird. (Wie Host\username natürlich, keine Domains ohne AD) - MSalters


Es gibt einen Unterschied zwischen diesen beiden, nur 99% der Benutzer haben kein Problem damit. Ich werde versuchen, den Unterschied zu erklären, und wenn ein solches Problem auftreten könnte.

Wenn Sie beim Versuch, auf eine Dateifreigabe zuzugreifen, Domain \ Benutzername verwenden, löst DNS zuerst die Domain auf und überprüft dann den Benutzernamen. Wenn Sie username @ domain verwenden, wird direkt geprüft, ob der Benutzer in der ACL (Zugriffssteuerungsliste) ist und Zugriff hat. Also, was macht es aus, dass du denkst ... nun, stell dir folgendes vor:

1 Domänencontroller mit dem Namen DC01 und alle Clients erhalten DNS und sind in dieser Domäne. Sie möchten migrieren und jemand hat einen anderen Server mit demselben Namen hinzugefügt. Der letztere Server wird auch ein DC, so dass das lokale SAM nicht mehr verwendet wird und auch eine Dateifreigabe hat.

Wenn die Benutzer eine Verbindung zum Server herstellen, werden sie zur Eingabe von Anmeldeinformationen aufgefordert. Wenn Sie domain \ username verwenden, wird zuerst die aktuelle Domäne überprüft, anstatt die neue Domäne zu verwenden, und wir haben Konten aus der neuen Domäne in der Dateifreigabe verwendet. Sobald es die aktuelle DC gefunden hat und den Benutzernamen überprüft, kann es nicht gefunden werden. (Selbst wenn der Benutzername und das Passwort gefunden werden und genau dasselbe sind, wird es nicht funktionieren, da es nicht den Benutzernamen verwendet, um zu überprüfen, ob es in der ACL erlaubt ist, sondern die SID. Die SID wird am Benutzererstellungszeit in AD und Sie haben eine Änderung von 1 in einer Billion, dass es das gleiche ist, groß huh :-P).


-1
2017-07-15 11:39



-1. Ich kann wirklich nicht folgen, was du hier sagst. Wo Sie sagen "Wenn die Benutzer eine Verbindung zum Server herstellen" welcher Server meinen Sie, den alten DC01 oder den neuen DC01? Was ist mit dem alten DC01 passiert, wurde es außer Betrieb genommen, umbenannt, aus der Domain entfernt, oder was? Wurde es zuerst richtig degradiert? Was meinst du mit "neue Domain", da du die Erstellung einer neuen Domain an keiner Stelle beschrieben hast? Wenn Sie "Domäne \ Benutzername" verwenden sollte Suchen Sie immer die Domäne, die Sie explizit angegeben haben. Beschreiben Sie einen Fall, in dem dies nicht der Fall ist? - Harry Johnston
"Es wird nicht den Benutzernamen verwenden, um zu überprüfen, ob es in der ACL zulässig ist, aber die SID verwendet" ist das erwartete Verhalten - es sollte immer so gemacht werden, unabhängig davon, ob Sie Domäne \ Benutzername oder Benutzername @ Domäne verwenden. Sprechen Sie von einem Fall, in dem es zwei Domänen mit demselben Namen oder etwas ähnlich Pathologisches gibt? - Harry Johnston
DNS löst zuerst die Domäne auf und überprüft dann den Benutzernamen. DNS überprüft den Benutzernamen? Was? - bahrep