使用者命名屬性

  • 發行項

使用者命名屬性會識別用戶物件,例如用於安全性用途的登入名稱和標識碼。 cnnamedistinguishedName 屬性是使用者命名屬性的範例。 使用者對像是安全性主體物件,因此它也包含下列使用者命名屬性:

注意

您可以使用 Active Directory 使用者和電腦 MMC 嵌入式管理單元來檢視及管理這些屬性,該嵌入式管理單元可在遠端伺服器 管理員 istration Tools (RSAT) 中使用。

 

userPrincipalName

userPrincipalName 屬性是使用者的登入名稱。 屬性是由用戶主體名稱 (UPN) 所組成,這是 Windows 使用者最常見的登入名稱。 使用者通常會使用其 UPN 登入網域。 這個屬性是單一值的索引字串。

UPN 是以因特網標準 RFC 822 為基礎的使用者因特網樣式登入名稱。 UPN 比辨別名稱短,而且更容易記住。 依照慣例,這應該對應至使用者的電子郵件名稱。 UPN 的重點是合併電子郵件和登入命名空間,讓使用者只需要記住單一名稱。

UPN 格式

UPN 是由 UPN 前置詞 (使用者帳戶名稱) 和 UPN 後綴 (DNS 功能變數名稱) 所組成。 前置詞會與後置詞聯結,並使用 「@」 符號。 例如,“someone@ example.com”。 UPN 在目錄樹系內的所有安全性主體物件中都必須是唯一的。 這表示UPN的前置詞可以重複使用,而不只是使用相同的後綴。

UPN 後綴具有下列限制:

  • 它必須是網域的 DNS 名稱,但不需要是包含使用者的網域名稱。
  • 它必須是目前網域樹系中的功能變數名稱,或是 Configuration 容器內 Partitions 容器的 upnSuffixes 屬性中列出的替代名稱。

UPN 管理

建立用戶帳戶時,可以指派 UPN,但並非必要。 建立UPN時,它不受用戶物件其他屬性的變更所影響,例如重新命名或行動的使用者。 這可讓使用者在重新建構目錄時保留相同的登入名稱。 不過,系統管理員可以變更UPN。 當您建立新的用戶物件時,應該檢查本機網域和全域編錄是否有建議的名稱,以確保該名稱不存在。

當使用者使用UPN登入網域時,UPN 會藉由搜尋本機網域和全域編錄來驗證。 如果在全域編錄中找不到UPN,登入嘗試就會失敗。

objectGUID

objectGUID 屬性是使用者的唯一標識碼。 屬性是單一值 128 位全域唯一標識碼 (GUID),並儲存為 ADS_OCTET_STRING 結構。 建立用戶物件時,Active Directory 伺服器會建立 GUID。

因為對象的辨別名稱在重新命名或移動時會變更,因此辨別名稱不是物件的可靠標識符。 在 Active Directory 網域服務 中,物件的 objectGUID 屬性永遠不會變更,即使物件已重新命名或移動也一樣。 您可以使用 IADs 屬性方法中的 GUID 屬性方法,擷取 objectGUID 字串形式。

sAMAccountName

sAMAccountName 屬性是用來支援舊版 Windows 的用戶端和伺服器登入名稱,例如 Windows NT 4.0、Windows 95、Windows 98 和 LAN Manager。 登入名稱必須是 20 個字元或更少,且在網域內的所有安全性主體物件中是唯一的。

objectSid

objectSid 屬性是使用者的安全性標識碼 (SID)。 SID 由系統用來在與 Windows 安全性互動期間識別使用者及其群組成員資格。 屬性為單一值。 SID 是用來將使用者識別為安全性主體的唯一二進位值。

建立使用者時,系統會設定 SID。 每個使用者都有 Windows 網域所發出的唯一 SID,並儲存在 目錄中用戶物件的 objectSid 屬性中。 每次使用者登入時,系統都會從目錄擷取使用者的SID,並將它放在使用者的存取令牌中。 使用者的 SID 也可用來擷取使用者所屬群組的 SID,並將其放在使用者的存取令牌中。 當 SID 當做使用者或群組的唯一識別碼使用時,就無法再次用來識別其他使用者或群組。

sIDHistory

sIDHistory 屬性包含用戶物件的先前 SID。 這是多重值屬性。 如果使用者已移至另一個網域,則用戶物件具有先前的SID。 每當使用者物件移至新的網域時,就會建立新的 SID 並指派 objectSid 屬性,並將先前的 SID 新增至 sIDHistory 屬性。

User 物件屬性