Atributos de nomenclatura de usuário

Os atributos de nomenclatura de usuário identificam objetos de usuário, como nomes de logon e IDs usados para fins de segurança. Os atributos cn, nome e distinguishedName são exemplos de atributos de nomenclatura de usuário. Um objeto de usuário é um objeto de entidade de segurança, portanto, também inclui os seguintes atributos de nomenclatura de usuário:

• userPrincipalName: o nome de logon do usuário
• objectGUID: o identificador exclusivo de um usuário
• sAMAccountName: um nome de logon que suporta a versão anterior do Windows
• objectSid: identificador de segurança (SID) do usuário
• sIDHistory: os SIDs anteriores para o objeto de usuário

Observação

Você pode visualizar e gerenciar esses atributos usando o snap-in MMC de Usuários e Computadores do Active Directory, que está disponível em Ferramentas de Administração de Servidor Remoto (RSAT).

userPrincipalName

O atributo userPrincipalName é o nome de logon do usuário. O atributo consiste em um nome UPN, que é o nome de logon mais comum para usuários do Windows. Os usuários normalmente usam seu UPN para fazer logon em um domínio. Esse atributo é uma cadeia de caracteres indexada com valor único.

Um UPN é um nome de login no estilo da Internet para um usuário com base no padrão da Internet RFC 822. O UPN é mais curto do que um nome distinto e mais fácil de lembrar. Por convenção, isso deve ser mapeado para o nome de email do usuário. O objetivo do UPN é consolidar os namespaces de email e logon para que o usuário só precise se lembrar de um único nome.

Formato UPN

Um UPN consiste em um prefixo UPN (o nome da conta de usuário) e um sufixo UPN (um nome de domínio de DNS). O prefixo é unido ao sufixo com o uso do símbolo "@". Por exemplo, "alguém@exemplo.com". Um UPN deve ser exclusivo entre todos os objetos de entidade de segurança em uma floresta de diretórios. Isso significa que o prefixo de um UPN pode ser reutilizado, mas não com o mesmo sufixo.

Um sufixo UPN tem as seguintes restrições:

• Deve ser o nome DNS de um domínio, mas não precisa ser o nome do domínio que contém o usuário.
• Deve ser o nome de um domínio na floresta de domínio atual ou um nome alternativo listado no atributo upnSuffixes do contêiner Partições dentro do contêiner Configuração.

Gerenciamento da UPN

Um UPN pode ser atribuído, mas não é necessário, quando uma conta de usuário é criada. Quando um UPN é criado, ele não é afetado por alterações em outros atributos do objeto de usuário, como o usuário que está sendo renomeado ou movido. Isso permite que o usuário mantenha o mesmo nome de login se um diretório for reestruturado. No entanto, um administrador pode alterar um UPN. Ao criar um novo objeto de usuário, você deve verificar o domínio local e o catálogo global para o nome proposto para garantir que ele ainda não exista.

Quando um usuário usa um UPN para fazer logon em um domínio, o UPN é validado pesquisando o domínio local e, em seguida, o catálogo global. Se o UPN não for encontrado no catálogo global, a tentativa de logon falha.

objectGUID

O atributo objectGUID é o identificador exclusivo de um usuário. O atributo é um GUID (Identificador Global Exclusivo) de 128 bits de valor único e é armazenado como uma estrutura ADS_OCTET_STRING. O GUID é criado pelo servidor do Active Directory quando um objeto de usuário é criado.

Como o nome distinto de um objeto é alterado se o objeto for renomeado ou movido, o nome distinto não é um identificador confiável de um objeto. Em Active Directory Domain Services, o atributo objectGUID de um objeto nunca é alterado, mesmo que o objeto seja renomeado ou movido. Você pode recuperar o formulário de cadeia de caracteres do objectGUID usando o método de propriedade GUID em Métodos de Propriedade IADs.

sAMAccountName

O atributo sAMAccountName é um nome de logon usado para dar suporte a clientes e servidores de versões anteriores do Windows, como Windows NT 4.0, Windows 95, Windows 98 e LAN Manager. O nome de logon deve ter 20 caracteres ou menos e ser exclusivo entre todos os objetos de entidade de segurança dentro do domínio.

objectSid

O atributo objectSid é o SID (identificador de segurança) do usuário. O SID é usado pelo sistema para identificar um usuário e suas associações de grupo durante as interações com a segurança do Windows. O atributo é de valor único. O SID é um valor binário exclusivo usado para identificar o usuário como uma entidade de segurança.

O SID é definido pelo sistema quando o usuário é criado. Cada usuário tem um SID exclusivo emitido por um domínio do Windows e armazenado no atributo objectSid do objeto de usuário no diretório. Cada vez que um usuário faz logon, o sistema recupera o SID do usuário do diretório e o coloca no token de acesso do usuário. O SID do usuário também é usado para recuperar os SIDs dos grupos dos quais o usuário é membro e os coloca no token de acesso do usuário. Quando um SID é usado como identificador exclusivo de um usuário ou grupo, ele não pode ser usado novamente para identificar outro usuário ou grupo.

sIDHistory

O atributo sIDHistory contém os SIDs anteriores para o objeto de usuário. Este é um atributo de vários valores. Um objeto de usuário terá SIDs anteriores se o usuário tiver sido movido para outro domínio. Sempre que um objeto de usuário é movido para um novo domínio, um novo SID é criado e atribuído ao atributo objectSid e o SID anterior é adicionado ao atributo sIDHistory.

Tópicos relacionados

Atributos de objeto de usuário