Atributos de nomeação de usuário

Os atributos de nomenclatura de usuário identificam objetos de usuário, como nomes de logon e IDs usados para fins de segurança. Os atributos cn, name e distinguishedName são exemplos de atributos de nomeação de usuário. Um objeto de usuário é um objeto principal de segurança, portanto, ele também inclui os seguintes atributos de nomeação de usuário:

  • userPrincipalName — o nome de logon do usuário
  • objectGUID — o identificador exclusivo de um usuário
  • sAMAccountName — um nome de logon que oferece suporte à versão anterior do Windows
  • objectSid — identificador de segurança (SID) do usuário
  • sIDHistory — os SIDs anteriores para o objeto de usuário

Observação

Você pode exibir e gerenciar esses atributos usando o snap-in MMC Usuários e Computadores do Active Directory, que está disponível nas Ferramentas de Administração de Servidor Remoto (RSAT).

 

userPrincipalName

O atributo userPrincipalName é o nome de logon do usuário. O atributo consiste em um nome UPN (nome principal do usuário), que é o nome de logon mais comum para usuários do Windows. Os usuários normalmente usam seu UPN para fazer logon em um domínio. Esse atributo é uma cadeia de caracteres indexada que tem valor único.

Um UPN é um nome de login no estilo da Internet para um usuário com base no padrão da Internet RFC 822. A UPN é mais curta que um nome distinto e mais fácil de lembrar. Por convenção, isso deve ser mapeado para o nome de e-mail do usuário. O objetivo do UPN é consolidar os namespaces de email e logon para que o usuário só precise se lembrar de um único nome.

Formato UPN

Um UPN consiste em um prefixo UPN (o nome da conta de usuário) e um sufixo UPN (um nome de domínio de DNS). O prefixo é unido ao sufixo com o uso do símbolo "@". Por exemplo, "someone@ example.com". Um UPN deve ser exclusivo entre todos os objetos de entidade de segurança em uma floresta de diretórios. Isso significa que o prefixo de um UPN pode ser reutilizado, apenas não com o mesmo sufixo.

Um sufixo UPN tem as seguintes restrições:

  • Ele deve ser o nome DNS de um domínio, mas não precisa ser o nome do domínio que contém o usuário.
  • Ele deve ser o nome de um domínio na floresta de domínio atual ou um nome alternativo listado no atributo upnSuffixes do contêiner Partições dentro do contêiner Configuração.

Gestão UPN

Um UPN pode ser atribuído, mas não é necessário, quando uma conta de usuário é criada. Quando um UPN é criado, ele não é afetado por alterações em outros atributos do objeto de usuário, como o usuário que está sendo renomeado ou movido. Isso permite que o usuário mantenha o mesmo nome de logon se um diretório for reestruturado. No entanto, um administrador pode alterar um UPN. Ao criar um novo objeto de usuário, você deve verificar o domínio local e o catálogo global para o nome proposto para garantir que ele ainda não exista.

Quando um usuário usa um UPN para fazer logon em um domínio, o UPN é validado pesquisando o domínio local e, em seguida, o catálogo global. Se o UPN não for encontrado no catálogo global, a tentativa de logon falhará.

objectGUID

O atributo objectGUID é o identificador exclusivo de um usuário. O atributo é um GUID (Identificador Globalmente Exclusivo) de valor único de 128 bits e é armazenado como uma estrutura ADS_OCTET_STRING. O GUID é criado pelo servidor do Active Directory quando um objeto de usuário é criado.

Como o nome distinto de um objeto muda se o objeto for renomeado ou movido, o nome distinto não é um identificador confiável de um objeto. Nos Serviços de Domínio Active Directory, o atributo objectGUID de um objeto nunca é alterado, mesmo se o objeto for renomeado ou movido. Você pode recuperar o formulário de cadeia de caracteres do objectGUID usando o método de propriedade GUID em Métodos de propriedade IADs.

sAMAccountName

O atributo sAMAccountName é um nome de logon usado para oferecer suporte a clientes e servidores de versões anteriores do Windows, como Windows NT 4.0, Windows 95, Windows 98 e LAN Manager. O nome de logon deve ter 20 ou menos caracteres e ser exclusivo entre todos os objetos de entidade de segurança dentro do domínio.

objectSid

O atributo objectSid é o identificador de segurança (SID) do usuário. O SID é usado pelo sistema para identificar um usuário e suas associações de grupo durante as interações com a segurança do Windows. O atributo tem valor único. O SID é um valor binário exclusivo usado para identificar o usuário como uma entidade de segurança.

O SID é definido pelo sistema quando o usuário é criado. Cada usuário tem um SID exclusivo emitido por um domínio do Windows e armazenado no atributo objectSid do objeto de usuário no diretório. Cada vez que um usuário faz logon, o sistema recupera o SID do usuário do diretório e o coloca no token de acesso do usuário. O SID do usuário também é usado para recuperar os SIDs dos grupos dos quais o usuário é membro e os coloca no token de acesso do usuário. Quando um SID foi usado como identificador exclusivo para um usuário ou grupo, ele não pode ser usado novamente para identificar outro usuário ou grupo.

sIDHihistória

O atributo sIDHistory contém os SIDs anteriores para o objeto de usuário. Este é um atributo de vários valores. Um objeto de usuário tem SIDs anteriores se o usuário foi movido para outro domínio. Sempre que um objeto de usuário é movido para um novo domínio, um novo SID é criado e atribuído ao atributo objectSid e o SID anterior é adicionado ao atributo sIDHistory.

Atributos de objeto de usuário