Czy istnieje coś takiego jak "w pełni kwalifikowana" nazwa użytkownika w kontekście uwierzytelniania systemu Windows?

Question

Moja aplikacja internetowa jest hostowana pod numerem mydomain z następującym identyfikatorem URI powiązanym z domeną: blah.net.

mogę zalogować się przy użyciu jednej z następujących nazw użytkowników:

• mydomain \ ben
• ben@blah.net

Jakie są nazwy każdego z tych typów login (i czy są jakieś różnice) w kontekście uwierzytelniania systemu Windows?

Answer 1

W mydomain \ ben "ben" to nazwa konta SAM (Account Manager bezpieczeństwa, stary system kont Windows NT). Nie wiem, czy istnieje nazwa dla całej konstrukcji "mydomain \ ben".

ben@blah.net nazywa się UPN lub główną nazwą użytkownika, gdzie "blah.net" jest sufiksem UPN.

W Active directory znajduje się również coś o nazwie Distinguished Name lub DN, która dla ben prawdopodobnie byłaby "CN = ben, OU = Users, DC = bla, DC = net". To jest najbliższe "w pełni kwalifikowanej" nazwy, którą myślę, że dostaniesz. Opisuje zarówno nazwę obiektu (część CN), jak i kontener (część OU), w której znajduje się on w katalogu aktywnym, a także nazwę domeny DNS (część DC) Active Directory.

Z tych trzech, DN jest jedyną, która może być użyta do powiązania z obiektem użytkownika LDAP bez żadnych innych informacji. Używając UPN, musisz znać kontroler domeny do zapytania. (Możliwe jest również uzyskanie dostępu do obiektu z domeny \ SamAccountName, ale wymaga to najpierw znalezienia kontrolera domeny dla domeny, a następnie wyszukania obiektu o podanej nazwie SamAccountName).

Answer 2

Formaty znane pod numerem GetUserNameEx są wymienione w wyliczeniu EXTENDED_NAME_FORMAT.

Wydaje mi się, że istnieje ograniczenie długości dla nazw kompatybilnych z SAM, które czasami można pokonać za pomocą formatu UPN.

Answer 3

Według User Name Formats dokumentacji Microsoftu mydomain\ben będzie dalej Down-Level Logon Name