Атрибуты именования пользователей
Атрибуты именования пользователей определяют объекты пользователей, такие как имена входа и идентификаторы, используемые для обеспечения безопасности. Атрибуты cn, name и distinguishedName являются примерами атрибутов именования пользователей. Объект пользователя — это объект субъекта безопасности, поэтому он также включает следующие атрибуты именования пользователей:
- userPrincipalName — имя входа для пользователя
- objectGUID — уникальный идентификатор пользователя
- sAMAccountName — имя входа, которое поддерживает предыдущую версию Windows
- objectSid — идентификатор безопасности пользователя
- sIDHistory — предыдущие идентификаторы SID для объекта пользователя
Примечание.
Эти атрибуты можно просматривать и управлять ими с помощью оснастки MMC пользователей и компьютеров Active Directory, которая доступна в средствах удаленного администрирования сервера (RSAT).
userPrincipalName
Атрибут userPrincipalName — это имя входа для пользователя. Атрибут состоит из имени участника-пользователя (UPN), которое является наиболее распространенным именем входа для пользователей Windows. Пользователи обычно используют имя участника-пользователя для входа в домен. Этот атрибут представляет собой индексированную строку, которая является однозначной.
Имя имени участника-пользователя в стиле Интернета — это имя для входа в Интернет на основе стандарта RFC 822. Имя участника-пользователя короче, чем различающееся имя и проще помнить. По соглашению это должно соответствовать имени электронной почты пользователя. Точка имени участника-пользователя заключается в консолидации пространств имен электронной почты и входа, чтобы пользователь запоминал только одно имя.
Формат имени участника-участника
Имя участника-пользователя состоит из префикса (имя участника-пользователя) и суффикса (имя субъекта-пользователя). Префикс объединяется с суффиксом с помощью символа "@". Например, "someone@ example.com". Имя участника-пользователя должно быть уникальным среди всех объектов субъекта безопасности в пределах леса каталога. Это означает, что префикс имени участника-участника-участника можно повторно использовать, а не с тем же суффиксом.
Суффикс имени участника-участника имеет следующие ограничения:
- Оно должно быть DNS-именем домена, но не должно быть именем домена, содержащего пользователя.
- Это должно быть имя домена в текущем лесу домена или альтернативное имя, указанное в атрибуте upnSuffixes контейнера Partitions в контейнере конфигурации.
Управление имени участника-участника
Имя участника-пользователя можно назначить, но не обязательно при создании учетной записи пользователя. При создании имени участника-пользователя он не влияет на другие атрибуты объекта пользователя, например переименованного или перемещаемого пользователя. Это позволяет пользователю сохранять то же имя входа, если каталог переструктурирован. Однако администратор может изменить имя участника-пользователя. При создании нового объекта пользователя необходимо проверить локальный домен и глобальный каталог для предлагаемого имени, чтобы убедиться, что он еще не существует.
Когда пользователь использует имя участника-пользователя для входа в домен, имя участника-пользователя проверяется путем поиска локального домена, а затем глобального каталога. Если имя участника-участника-участника не найдено в глобальном каталоге, попытка входа завершается ошибкой.
objectGUID
Атрибут objectGUID является уникальным идентификатором пользователя. Атрибут представляет собой однозначный 128-разрядный глобальный уникальный идентификатор (GUID) и хранится в виде ADS_OCTET_STRING структуры. Guid создается сервером Active Directory при создании пользовательского объекта.
Так как различающееся имя объекта изменяется при переименовании или перемещении объекта, различающееся имя не является надежным идентификатором объекта. В службах домен Active Directory атрибут objectGUID объекта никогда не изменяется, даже если объект переименован или перемещен. Вы можете получить строковую форму objectGUID с помощью метода свойства GUID в методах свойств IADs.
sAMAccountName
Атрибут sAMAccountName — это имя входа, используемое для поддержки клиентов и серверов из предыдущей версии Windows, таких как Windows NT 4.0, Windows 95, Windows 98 и LAN Manager. Имя входа должно иметь длину 20 или меньше символов и быть уникальным среди всех объектов субъекта безопасности в домене.
objectSid
Атрибут objectSid — это идентификатор безопасности пользователя. Идентификатор безопасности используется системой для идентификации пользователя и их членства в группах во время взаимодействия с безопасностью Windows. Атрибут имеет однозначное значение. Идентификатор безопасности — это уникальное двоичное значение, используемое для идентификации пользователя в качестве субъекта безопасности.
Идентификатор безопасности устанавливается системой при создании пользователя. Каждый пользователь имеет уникальный идентификатор безопасности, выданный доменом Windows, и хранится в атрибуте objectSid объекта пользователя в каталоге. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности пользователя из каталога и помещает его в маркер доступа пользователя. Идентификатор безопасности пользователя также используется для получения идентификаторов безопасности для групп, в которых пользователь является членом, и помещает их в маркер доступа пользователя. Если идентификатор безопасности используется в качестве уникального идентификатора пользователя или группы, его нельзя использовать повторно для идентификации другого пользователя или группы.
sIDHistory
Атрибут sIDHistory содержит предыдущие идентификаторы SID для объекта пользователя. Это многозначный атрибут. Объект пользователя имеет предыдущие идентификаторы БЕЗОПАСНОСТИ, если пользователь был перемещен в другой домен. При каждом перемещении объекта пользователя в новый домен создается и назначается атрибут objectSid , а предыдущий идентификатор безопасности добавляется в атрибут sIDHistory .