用户命名属性

用户命名属性可识别用户对象,如用于安全目的的登录名和 ID。 cnnamedistinguishedName 属性是用户命名属性的示例。 用户对象是一个安全主体对象,因此也包括以下用户命名属性:

注意

可以使用远程服务器管理工具 (RSAT) 中的 Active Directory 用户和计算机 MMC 管理单元来查看和管理这些属性。

userPrincipalName

userPrincipalName 属性是用户的登录名。 该属性由用户主体名称 (UPN) 组成,这是 Windows 用户最常用的登录名。 用户通常使用自己的 UPN 来登录域。 此属性是单值索引字符串。

UPN 是用户的 Internet 样式登录名,基于 Internet 标准 RFC 822。 UPN 比可分辨名称短,也更容易记忆。 按照惯例,这应映射到用户的电子邮件名称。 UPN 的作用是合并电子邮件和登录名称空间,这样用户就只用记住一个名称。

UPN 格式

UPN 由 UPN 前缀(用户帐户名)和 UPN 后缀(DNS 域名)组成。 前缀与后缀以“@”符号相联接。 例如,“someone@ example.com”。 UPN 必须在目录林中的所有安全主体对象之间保持唯一。 这意味着 UPN 的前缀可以重复使用,但不能使用相同的后缀。

UPN 后缀存在以下限制:

  • 它必须是域的 DNS 名称,但不必是包含用户的域。
  • 它必须是当前域林中的域名称,或者是“配置”容器中“分区”容器的 upnSuffixes 属性中列出的替代名称。

UPN 管理

创建用户帐户时可以分配 UPN,但这并不是必须的。 创建 UPN 时,用户对象其他属性的变化(如用户重命名或移动)不会影响 UPN。 这样,即使目录重组,用户也能继续使用相同的登录名。 但是,管理员可以更改 UPN。 在创建新用户对象时,应检查本地域和全局目录中的拟议名称,以确保该名称尚不存在。

当用户使用 UPN 登录域时,会先搜索本地域,然后再搜索全局目录,以便验证 UPN。 如果在全局目录中找不到 UPN,则登录尝试失败。

objectGUID

objectGUID 属性是用户的唯一标识符。 该属性是单值 128 位全球唯一标识符 (GUID),并以 ADS_OCTET_STRING 结构的形式存储。 GUID 由 Active Directory 服务器在创建用户对象时创建。

如果重命名或移动对象,则对象可分辨名称会发生变化,因此可分辨名称并非可靠的对象标识符。 在 Active Directory 域服务中,对象的 objectGUID 属性永远不会更改,即使重命名或移动对象也是如此。 可以使用 IAD 属性方法 中的 GUID 属性方法来检索 objectGUID 的字符串形式。

sAMAccountName

sAMAccountName 属性是一个登录名,用于支持以前版本的 Windows 客户端和服务器,如 Windows NT 4.0、Windows 95、Windows 98 和 LAN Manager。 登录名必须少于或等于 20 个字符,并且在域内所有安全主体对象中都是唯一的。

objectSid

objectSid 属性是用户的安全标识符 (SID)。 在与 Windows 安全系统交互时,系统会使用 SID 来识别用户及其组成员身份。 该属性为单值。 SID 是一个唯一的二进制值,用于将用户识别为安全主体。

SID 由系统在创建用户时设置。 每个用户都有一个由 Windows 域签发的唯一 SID,并存储在目录中用户对象的 objectSid 属性中。 用户每次登录时,系统都会从目录中检索用户的 SID,并将其放入用户的访问令牌中。 用户的 SID 还用于检索用户所属组的 SID,并将其放入用户的访问令牌中。 当一个 SID 被用作一个用户或组的唯一标识符时,就不能再用来标识其他的用户或组。

sIDHistory

sIDHistory 属性包含用户对象以前的 SID。 这是一个多值属性。 如果用户被移到另一个域,则用户对象会继续使用以前的 SID。 每当用户对象被移动到一个新域中时,就会创建一个新的 SID 并分配给 objectSid 属性,同时将以前的 SID 添加到 sIDHistory 属性中。

用户对象属性