Атрибуты именования пользователей
Атрибуты именования пользователей определяют объекты пользователей, такие как имена входа и идентификаторы, используемые для обеспечения безопасности. Атрибуты cn, name и distinguishedName являются примерами атрибутов именования пользователей. Объект пользователя является объектом субъекта безопасности, поэтому он также включает следующие атрибуты именования пользователей:
- userPrincipalName — имя входа пользователя
- objectGUID — уникальный идентификатор пользователя
- sAMAccountName — имя входа, которое поддерживает предыдущую версию Windows
- objectSid — идентификатор безопасности пользователя
- sIDHistory — предыдущие идентификаторы БЕЗОПАСНОСТИ для объекта пользователя
Примечание
Эти атрибуты можно просматривать и управлять ими с помощью оснастки MMC для пользователей и компьютеров Active Directory, которая доступна в средствах удаленного администрирования сервера (RSAT).
userPrincipalName
Атрибут userPrincipalName — это имя входа пользователя. Атрибут состоит из имени участника-пользователя (UPN), которое является наиболее распространенным именем входа для Windows пользователей. Пользователи обычно используют имя участника-пользователя для входа в домен. Этот атрибут представляет собой индексированную строку, которая является однозначной.
Имя участника-пользователя — это имя для входа в Интернет, основанное на стандарте Интернета RFC 822. Имя участника-пользователя короче, чем различающееся имя и легче помнить. По соглашению оно должно сопоставляться с адресом электронной почты пользователя. Точка имени участника-пользователя заключается в консолидации пространств имен электронной почты и входа, чтобы пользователь запоминал только одно имя.
Формат имени участника-участника
Имя участника-пользователя состоит из префикса (имя участника-пользователя) и суффикса (имя субъекта-пользователя). Префикс объединяется с суффиксом с помощью символа "@". Например, "someone@ example.com". Имя участника-пользователя должно быть уникальным среди всех объектов субъекта безопасности в пределах леса каталога. Это означает, что префикс имени участника-участника можно использовать повторно, а не с тем же суффиксом.
Суффикс имени участника-участника имеет следующие ограничения:
- Это должно быть DNS-имя домена, но не обязательно должно быть именем домена, содержащего пользователя.
- Это должно быть имя домена в текущем лесу домена или альтернативное имя, указанное в атрибуте upnSuffixes контейнера Partitions в контейнере конфигурации.
Управление имени участника-участника
Имя участника-пользователя можно назначить, но не требуется при создании учетной записи пользователя. При создании имени участника-пользователя он не влияет на другие атрибуты объекта пользователя, например переименованного или перемещаемого пользователя. Это позволяет пользователю сохранять то же имя входа, если каталог переструктурирован. Однако администратор может изменить имя участника-пользователя. При создании нового пользовательского объекта необходимо проверить локальный домен и глобальный каталог на предмет предлагаемого имени, чтобы убедиться, что он еще не существует.
Когда пользователь использует имя участника-пользователя для входа в домен, имя участника-пользователя проверяется путем поиска локального домена, а затем глобального каталога. Если имя участника-участника не найдено в глобальном каталоге, попытка входа завершается сбоем.
objectGUID
Атрибут objectGUID — это уникальный идентификатор пользователя. Атрибут представляет собой 128-разрядный глобальный уникальный идентификатор (GUID) и хранится в виде ADS_OCTET_STRING структуры. Идентификатор GUID создается сервером Active Directory при создании пользовательского объекта.
Так как различающееся имя объекта изменяется при переименовании или перемещении объекта, различающееся имя не является надежным идентификатором объекта. В доменные службы Active Directory атрибут objectGUID объекта никогда не изменяется, даже если объект переименован или перемещен. Строковую форму objectGUID можно получить с помощью метода свойства GUID в методах свойств IADs.
sAMAccountName
Атрибут sAMAccountName — это имя входа, используемое для поддержки клиентов и серверов из предыдущей версии Windows, таких как Windows NT 4.0, Windows 95, Windows 98 и LAN Manager. Имя входа должно быть 20 или меньше символов и быть уникальным среди всех объектов субъекта безопасности в домене.
objectSid
Атрибут objectSid — это идентификатор безопасности пользователя. Идентификатор безопасности используется системой для идентификации пользователя и членства в группах во время взаимодействия с Windows безопасностью. Атрибут имеет однозначное значение. Идентификатор безопасности — это уникальное двоичное значение, используемое для идентификации пользователя в качестве субъекта безопасности.
Идентификатор безопасности задается системой при создании пользователя. Каждый пользователь имеет уникальный идентификатор безопасности, выданный доменом Windows и хранящийся в атрибуте objectSid объекта пользователя в каталоге. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности пользователя из каталога и помещает его в маркер доступа пользователя. Идентификатор безопасности пользователя также используется для получения идентификаторов безопасности для групп, членом которых является пользователь, и помещает их в маркер доступа пользователя. Если идентификатор безопасности использовался в качестве уникального идентификатора пользователя или группы, его нельзя использовать повторно для идентификации другого пользователя или группы.
sIDHistory
Атрибут sIDHistory содержит предыдущие идентификаторы БЕЗОПАСНОСТИ для объекта пользователя. Это многозначный атрибут. Объект пользователя имеет предыдущие идентификаторы БЕЗОПАСНОСТИ, если пользователь был перемещен в другой домен. Каждый раз, когда объект пользователя перемещается в новый домен, создается и назначается атрибут objectSid , а предыдущий идентификатор безопасности добавляется в атрибут sIDHistory .
Связанные темы