Share via

Attributi di denominazione utente

  • Articolo

Gli attributi di denominazione utente identificano gli oggetti utente, ad esempio nomi di accesso e ID usati per scopi di sicurezza. Gli attributi cn, name e distinguishedName sono esempi di attributi di denominazione utente. Un oggetto utente è un oggetto entità di sicurezza, pertanto include anche gli attributi di denominazione utente seguenti:

Nota

È possibile visualizzare e gestire questi attributi usando lo snap-in MMC Utenti e computer di Active Directory, disponibile in Strumenti di Amministrazione istration del server remoto.You can view and manage these attributes using the Active Directory User and Computers MMC snap-in, which is available in the Remote Server Amministrazione istration Tools (RSAT).

 

userPrincipalName

L'attributo userPrincipalName è il nome di accesso per l'utente. L'attributo è costituito da un nome dell'entità utente (UPN), ovvero il nome di accesso più comune per gli utenti di Windows. Gli utenti usano in genere l'UPN per accedere a un dominio. Questo attributo è una stringa indicizzata con valori singoli.

Un UPN è un nome di accesso di tipo Internet per un utente basato sullo standard Internet RFC 822. L'UPN è più breve di un nome distinto e più facile da ricordare. Per convenzione, deve essere eseguito il mapping al nome di posta elettronica dell'utente. Il punto dell'UPN consiste nel consolidare gli spazi dei nomi di posta elettronica e accesso in modo che l'utente debba solo ricordare un singolo nome.

Formato UPN

Un UPN è costituito da un prefisso UPN (il nome dell'account utente) e un suffisso UPN (nome di dominio DNS). Il prefisso viene unito al suffisso usando il simbolo \"\@\". Ad esempio, "someone@ example.com". Un UPN deve essere univoco tra tutti gli oggetti entità di sicurezza in una foresta di directory. Ciò significa che il prefisso di un UPN può essere riutilizzato, non solo con lo stesso suffisso.

Un suffisso UPN presenta le restrizioni seguenti:

  • Deve essere il nome DNS di un dominio, ma non deve essere il nome del dominio che contiene l'utente.
  • Deve essere il nome di un dominio nella foresta di dominio corrente o un nome alternativo elencato nell'attributo upnSuffixes del contenitore Partitions all'interno del contenitore Configuration.

Gestione UPN

È possibile assegnare un UPN, ma non è obbligatorio, quando viene creato un account utente. Quando viene creato un UPN, non è interessato dalle modifiche apportate ad altri attributi dell'oggetto utente, ad esempio l'utente rinominato o spostato. Ciò consente all'utente di mantenere lo stesso nome di accesso se una directory viene ristrutturata. Tuttavia, un amministratore può modificare un UPN. Quando si crea un nuovo oggetto utente, è necessario controllare il dominio locale e il catalogo globale per il nome proposto per assicurarsi che non esista già.

Quando un utente usa un UPN per accedere a un dominio, l'UPN viene convalidato eseguendo una ricerca nel dominio locale e quindi nel catalogo globale. Se l'UPN non viene trovato nel catalogo globale, il tentativo di accesso ha esito negativo.

objectGUID

L'attributo objectGUID è l'identificatore univoco di un utente. L'attributo è un identificatore univoco globale (GUID) a 128 bit a valore singolo e viene archiviato come struttura ADS_OCTET_STRING. Il GUID viene creato dal server Active Directory quando viene creato un oggetto utente.

Poiché il nome distinto di un oggetto cambia se l'oggetto viene rinominato o spostato, il nome distinto non è un identificatore affidabile di un oggetto. In Dominio di Active Directory Services, l'attributo objectGUID di un oggetto non cambia mai, anche se l'oggetto viene rinominato o spostato. È possibile recuperare il formato stringa dell'oggettoGUIDusando il metodo della proprietà GUID nei metodi di proprietà IADs.

sAMAccountName

L'attributo sAMAccountName è un nome di accesso usato per supportare client e server della versione precedente di Windows, ad esempio Windows NT 4.0, Windows 95, Windows 98 e LAN Manager. Il nome di accesso deve essere composto da 20 o meno caratteri e deve essere univoco tra tutti gli oggetti entità di sicurezza all'interno del dominio.

objectSid

L'attributo objectSid è l'identificatore di sicurezza (SID) dell'utente. Il SID viene usato dal sistema per identificare un utente e le relative appartenenze ai gruppi durante le interazioni con la sicurezza di Windows. L'attributo è a valore singolo. Il SID è un valore binario univoco usato per identificare l'utente come entità di sicurezza.

Il SID viene impostato dal sistema quando viene creato l'utente. Ogni utente ha un SID univoco emesso da un dominio Windows e archiviato nell'attributo objectSid dell'oggetto utente nella directory. Ogni volta che un utente accede, il sistema recupera il SID dell'utente dalla directory e lo inserisce nel token di accesso dell'utente. Il SID dell'utente viene usato anche per recuperare i SID per i gruppi di cui l'utente è membro e li inserisce nel token di accesso dell'utente. Quando un SID è stato usato come identificatore univoco per un utente o un gruppo, non può essere usato di nuovo per identificare un altro utente o gruppo.

Sidhistory

L'attributo sIDHistory contiene i SID precedenti per l'oggetto utente. Si tratta di un attributo multivalore. Un oggetto utente dispone di SID precedenti se l'utente è stato spostato in un altro dominio. Ogni volta che un oggetto utente viene spostato in un nuovo dominio, viene creato un nuovo SID e viene assegnato l'attributo objectSid e il SID precedente viene aggiunto all'attributo sIDHistory .

Attributi dell'oggetto Utente