Atributos de nomenclatura de usuario
Los atributos de nomenclatura de usuario identifican objetos de usuario, como nombres de inicio de sesión e identificadores usados con fines de seguridad. Los atributos cn, name y distinguishedName son ejemplos de atributos de nomenclatura de usuario. Un objeto de usuario es un objeto de entidad de seguridad, por lo que también incluye los siguientes atributos de nomenclatura de usuario:
- userPrincipalName : el nombre de inicio de sesión del usuario
- objectGUID: el identificador único de un usuario
- sAMAccountName: un nombre de inicio de sesión que admite la versión anterior de Windows
- objectSid: el identificador de seguridad (SID) del usuario
- sIDHistory: los SID anteriores para el objeto de usuario
Nota:
Puede ver y administrar estos atributos mediante el complemento MMC de usuarios y equipos de Active Directory, que está disponible en Herramientas de administración remota del servidor (RSAT).
userPrincipalName
El atributo userPrincipalName es el nombre de inicio de sesión del usuario. El atributo consta de un nombre principal de usuario (UPN), que es el nombre de inicio de sesión más común para los usuarios de Windows. Los usuarios suelen usar su UPN para iniciar sesión en un dominio. Este atributo es una cadena indexada que tiene un valor único.
Un UPN es un nombre de inicio de sesión de estilo Internet de un usuario basado en el estándar de Internet RFC 822. El UPN es más corto que un nombre distintivo y es más fácil de recordar. Por convención, debe asignarse al nombre de correo electrónico del usuario. El objetivo del UPN es consolidar los espacios de nombres de correo electrónico e inicio de sesión para que el usuario solo tenga que recordar un solo nombre.
Formato UPN
Un UPN consta de un prefijo de UPN (el nombre de la cuenta de usuario) y un sufijo de UPN (un nombre de dominio DNS). El prefijo se une con el sufijo mediante el símbolo \"\@\". Por ejemplo, "alguien@ ejemplo.com". Un UPN debe ser único entre todos los objetos de entidad de seguridad dentro de un bosque de directorio. Esto significa que se puede reutilizar el prefijo de un UPN, pero no con el mismo sufijo.
Un sufijo UPN tiene las restricciones siguientes:
- Debe ser el nombre DNS de un dominio, pero no es necesario que sea el nombre del dominio que contiene el usuario.
- Debe ser el nombre de un dominio en el bosque de dominio actual o un nombre alternativo enumerado en el atributo upnSuffixes del contenedor de particiones dentro del contenedor de configuración.
UPN Management
Se puede asignar un UPN, pero no es obligatorio, cuando se crea una cuenta de usuario. Cuando se crea un UPN, no se ve afectado por cambios en otros atributos del objeto de usuario, como el cambio de nombre o el traslado del usuario. Esto permite al usuario mantener el mismo nombre de inicio de sesión si se reestructura un directorio. Sin embargo, un administrador puede cambiar un UPN. Al crear un nuevo objeto de usuario, debe comprobar el dominio local y el catálogo global para el nombre propuesto para asegurarse de que no existe ya.
Cuando un usuario usa un UPN para iniciar sesión en un dominio, el UPN se valida buscando en el dominio local y, a continuación, en el catálogo global. Si el UPN no se encuentra en el catálogo global, se produce un error en el intento de inicio de sesión.
objectGUID
El atributo objectGUID es el identificador único de un usuario. El atributo es un identificador único global (GUID) de 128 bits con un solo valor y se almacena como una estructura ADS_OCTET_STRING. El GUID lo crea el servidor de Active Directory cuando se crea un objeto de usuario.
Dado que el nombre distintivo de un objeto cambia si se cambia el nombre o se mueve el objeto, el nombre distintivo no es un identificador confiable de un objeto. En Servicios de dominio de Active Directory, el atributo objectGUID de un objeto nunca cambia, incluso si se cambia el nombre del objeto o se mueve. Puede recuperar la forma de cadena del objectGUID mediante el método de propiedad GUID en los métodos de propiedad de IAD.
sAMAccountName
El atributo sAMAccountName es un nombre de inicio de sesión que se usa para admitir clientes y servidores de la versión anterior de Windows, como Windows NT 4.0, Windows 95, Windows 98 y administrador de LAN. El nombre de inicio de sesión debe tener 20 o menos caracteres y debe ser único entre todos los objetos de entidad de seguridad del dominio.
objectSid
El atributo objectSid es el identificador de seguridad (SID) del usuario. El sistema usa el SID para identificar a un usuario y sus pertenencias a grupos durante las interacciones con la seguridad de Windows. El atributo tiene un valor único. El SID es un valor binario único que se usa para identificar al usuario como una entidad de seguridad.
El sistema establece el SID cuando se crea el usuario. Cada usuario tiene un SID único emitido por un dominio de Windows que se almacena en el atributo objectSid del objeto user del directorio. Cada vez que un usuario inicia sesión, el sistema recupera el SID del usuario del directorio y lo coloca en el token de acceso del usuario. El SID del usuario también se usa para recuperar los SID de los grupos de los que es miembro el usuario y los coloca en el token de acceso del usuario. Cuando se ha utilizado un SID como identificador único de un usuario o grupo, no se puede volver a utilizar para identificar a otro usuario o grupo.
sIDHistory
El atributo sIDHistory contiene los SID anteriores para el objeto de usuario. Se trata de un atributo de varios valores. Un objeto de usuario tiene SID anteriores si el usuario se movió a otro dominio. Cada vez que un objeto de usuario se mueve a un nuevo dominio, se crea un nuevo SID, se le asigna el atributo objectSid y se agrega el SID anterior al atributo sIDHistory.