Benutzerbenennungsattribute
Benutzerbenennungsattribute identifizieren Benutzerobjekte, z. B. Anmeldenamen und IDs, die für Sicherheitszwecke verwendet werden. Die Attribute cn, name und distinguishedName sind Beispiele für Benutzerbenennungsattribute. Ein Benutzerobjekt ist ein Sicherheitsprinzipalobjekt, sodass es auch die folgenden Benutzerbenennungsattribute enthält:
- userPrincipalName – der Anmeldename für den Benutzer
- objectGUID – der eindeutige Bezeichner eines Benutzers
- sAMAccountName – ein Anmeldename, der frühere Version von Windows unterstützt
- objectSid — Sicherheitskennung (SID) des Benutzers
- sIDHistory – die vorherigen SIDs für das Benutzerobjekt
Hinweis
Sie können diese Attribute mithilfe des MMC-Snap-Ins für Active Directory-Benutzer und -Computer anzeigen und verwalten, das in den Remoteserver-Verwaltungstools (REMOTE Server Administration Tools, RSAT) verfügbar ist.
userPrincipalName
Das Attribut userPrincipalName ist der Anmeldename für den Benutzer. Das Attribut besteht aus einem Benutzerprinzipalnamen (UPN), dem am häufigsten verwendeten Anmeldenamen für Windows-Benutzer. Benutzer verwenden in der Regel ihren UPN, um sich bei einer Domäne anzumelden. Dieses Attribut ist eine indizierte Zeichenfolge, die einwertig ist.
Der UPN ist ein Anmeldename im Internetformat für den Benutzer basierend auf dem Internetstandard RFC 822. Der UPN ist kürzer als ein unterschiedener Name und ist leichter zu merken. In der Konvention sollte dies dem E-Mail-Namen des Benutzers zugeordnet werden. Der Punkt des UPN besteht darin, die E-Mail- und Anmeldenamespaces zu konsolidieren, damit sich der Benutzer nur an einen einzelnen Namen erinnern muss.
UPN-Format
Ein UPN besteht aus einem UPN-Präfix (dem Benutzerkontonamen) und einem UPN-Suffix (einem DNS-Domänennamen). Das Präfix wird mithilfe des @-Symbols mit dem Suffix verknüpft. Zum Beispiel "someone@ example.com". Ein UPN muss für alle Sicherheitsprinzipalobjekte innerhalb einer Verzeichnisgesamtstruktur eindeutig sein. Dies bedeutet, dass das Präfix eines UPN wiederverwendet werden kann, nicht nur mit demselben Suffix.
Ein UPN-Suffix hat die folgenden Einschränkungen:
- Er muss der DNS-Name einer Domäne sein, muss jedoch nicht der Name der Domäne sein, die den Benutzer enthält.
- Er muss der Name einer Domäne in der aktuellen Domänenstruktur oder ein alternativer Name sein, der im upnSuffixes-Attribut des Partitionscontainers im Konfigurationscontainer aufgeführt ist.
UPN Management
Ein UPN kann zugewiesen werden, ist jedoch nicht erforderlich, wenn ein Benutzerkonto erstellt wird. Wenn ein UPN erstellt wird, wird er durch Änderungen an anderen Attributen des Benutzerobjekts, z. B. eine Umbenennung oder Verschiebung des Benutzers, nicht beeinflusst. Auf diese Weise kann der Benutzer denselben Anmeldenamen beibehalten, wenn ein Verzeichnis neu strukturiert ist. Ein Administrator kann jedoch einen UPN ändern. Wenn Sie ein neues Benutzerobjekt erstellen, sollten Sie die lokale Domäne und den globalen Katalog auf den vorgeschlagenen Namen überprüfen, um sicherzustellen, dass es noch nicht vorhanden ist.
Wenn ein Benutzer einen UPN zum Anmelden bei einer Domäne verwendet, wird der UPN überprüft, indem er die lokale Domäne und dann den globalen Katalog durchsucht. Wenn der UPN nicht im globalen Katalog gefunden wird, schlägt der Anmeldeversuch fehl.
objectGUID
Das objectGUID-Attribut ist der eindeutige Bezeichner eines Benutzers. Das Attribut ist ein einwertiges 128-Bit-GUID (Globally Unique Identifier) und wird als ADS_OCTET_STRING-Struktur gespeichert. Die GUID wird vom Active Directory-Server erstellt, wenn ein Benutzerobjekt erstellt wird.
Da sich der definierte Name eines Objekts ändert, wenn das Objekt umbenannt oder verschoben wird, ist der definierte Name kein zuverlässiger Bezeichner eines Objekts. In Active Directory-Domäne Services ändert sich das ObjectGUID-Attribut eines Objekts nie, auch wenn das Objekt umbenannt oder verschoben wird. Sie können die Zeichenfolgenform der objectGUID mithilfe der GUID-Eigenschaftsmethode in IADs-Eigenschaftsmethoden abrufen.
sAMAccountName
Das sAMAccountName-Attribut ist ein Anmeldename, der verwendet wird, um Clients und Server aus früherer Version von Windows zu unterstützen, z. B. Windows NT 4.0, Windows 95, Windows 98 und LAN Manager. Der Anmeldename muss 20 oder weniger Zeichen lang sein und bei allen Sicherheitsprinzipalobjekten innerhalb der Domäne eindeutig sein.
objectSid
Das objectSid-Attribut ist die Sicherheits-ID (SID) des Benutzers. Die SID wird vom System verwendet, um einen Benutzer und seine Gruppenmitgliedschaften während Interaktionen mit der Windows-Sicherheit zu identifizieren. Das Attribut ist einwertig. Die SID ist ein eindeutiger Binärwert, der verwendet wird, um den Benutzer als Sicherheitsprinzipal zu identifizieren.
Die SID wird vom System beim Anlegen des Benutzers festgelegt. Jeder Benutzer verfügt über eine eindeutige SID, die von einer Windows-Domäne ausgestellt und im objectSid-Attribut des Benutzerobjekts im Verzeichnis gespeichert ist. Jedes Mal, wenn sich ein Benutzer anmeldet, ruft das System die SID des Benutzers aus dem Verzeichnis ab und platziert sie im Zugriffstoken des Benutzers. Die SID des Benutzers wird auch verwendet, um die SIDs für die Gruppen abzurufen, deren Mitglied der Benutzer ist und sie im Zugriffstoken des Benutzers platziert. Wenn eine SID als eindeutige Kennung für einen Benutzer oder eine Gruppe verwendet wurde, kann sie nicht erneut verwendet werden, um einen anderen Benutzer oder eine andere Gruppe zu identifizieren.
sIDHistory
Das sIDHistory-Attribut enthält die vorherigen SIDs für das Benutzerobjekt. Dies ist ein mehrwertiges Attribut. Ein Benutzerobjekt verfügt über vorherige SIDs, wenn der Benutzer in eine andere Domäne verschoben wurde. Wenn ein Benutzerobjekt in eine neue Domäne verschoben wird, wird eine neue SID erstellt und dem objectSid-Attribut zugewiesen, und die vorherige SID wird dem sIDHistory-Attribut hinzugefügt.