Alguma diferença entre DOMAIN \ nomedeusuário e nomedeusuário@domínio.local?

46

Estou tentando solucionar um erro de autenticação obscuro e preciso de algumas informações básicas.

  • Existe alguma diferença entre como o Windows (e programas como o Outlook) processa DOMAIN\usernamee [email protected]?

  • Quais são os termos adequados para esses dois formatos de nome de usuário?

  • Editar : Em particular, existem diferenças em como o Windows autentica os dois formatos de nome de usuário?

windows active-directory user-accounts Josh Kelley
fonte
Você pode estar interessado em uma das minhas perguntas anteriores .
Belmin Fernandez 19/03/12

Respostas:

38

Supondo que você tenha um ambiente do Active Directory:

Acredito que o formato da barra invertida DOMAIN \ USERNAME pesquisará DOMAIN do domínio em busca de um objeto de usuário cujo nome da conta SAM seja USERNAME.

O formato UPN nome_de_usuário @ domínio procurará na floresta um objeto de usuário cujo Nome do Princípio do Usuário seja nome_de_usuário @ domínio.

Agora, normalmente , uma conta de usuário com um Nome de conta SAM de USERNAME possui um UPN de USERNAME @ DOMAIN, portanto, qualquer formato deve localizar a mesma conta, pelo menos desde que o AD esteja totalmente funcional. Se houver problemas de replicação ou você não conseguir acessar um catálogo global, o formato da barra invertida poderá funcionar nos casos em que o formato UPN falhará. Também pode haver condições (anormais) sob as quais o inverso se aplica - talvez se nenhum controlador de domínio possa ser alcançado para o domínio de destino, por exemplo.

No entanto: você também pode configurar explicitamente uma conta de usuário para ter um UPN cujo componente de nome de usuário seja diferente do Nome da Conta SAM e cujo componente de domínio seja diferente do nome do domínio.

A guia Conta em Usuários e Computadores do Active Directory mostra o UPN sob o título "Nome de logon do usuário" e o Nome da Conta SAM sob o título "Nome de logon do usuário (anterior ao Windows 2000)". Portanto, se você estiver tendo problemas com usuários específicos, verifique se não há discrepâncias entre esses dois valores.

Nota: é possível que pesquisas adicionais sejam realizadas se a pesquisa descrita acima não encontrar a conta do usuário. Por exemplo, talvez o nome de usuário especificado seja convertido para outro formato (da maneira óbvia) para ver se isso produz uma correspondência. Também deve haver algum procedimento para localizar contas em domínios confiáveis ​​que não estão na floresta. Não sei onde / se o comportamento exato está documentado.

Apenas para complicar ainda mais a solução de problemas, os clientes Windows, por padrão, armazenam em cache informações sobre logons interativos bem-sucedidos, para que você possa fazer logon no mesmo cliente, mesmo que as informações da sua conta de usuário no Active Directory estejam inacessíveis.

Harry Johnston
fonte
1
Eu gosto desta resposta melhor que a minha. Bem feito.
Ryan Ries
Se você estiver consultando o AD com ldapsearch, encontrará o nome de login de nível inferior no atributo msDS-PrincipalName, que você precisará solicitar explicitamente, pois é um "atributo operacional".
Eric
22

Eu posso ser corrigido, mas não há muita diferença.

Domínio \ Usuário é o formato de logon "antigo", chamado nome de logon de nível inferior . Também conhecido pelos nomes SAMAccountName e nome de logon anterior ao Windows 2000 .

[email protected] é um UPN - Nome Principal do Usuário . É o formato de logon "preferido" e mais recente. É um nome de login no estilo da Internet, que deve ser mapeado para o nome de email do usuário. ( Ref. No MSDN )

As razões para fazer login com UPNs, na minha opinião, são principalmente cosméticas - elas hipoteticamente dão aos usuários da sua empresa um nome único para fazer logon nas estações de trabalho, que também podem atuar como endereço de email corporativo.

editar: Mais elaboração - outra vantagem dos UPNs é que você pode configurar mais de um UPN válido para que seus usuários façam logon. Mais uma vez, em grande parte cosmético. Mas o importante é que nem todos os aplicativos são compatíveis com UPNs, e pode ser o que você está enfrentando.

edit # 2: Gosto da resposta de Harry Johnston abaixo sobre os dois formatos de pesquisa ligeiramente diferentes realizados. Faz sentido e, o mais importante, pode realmente explicar o seu problema. :)

Ryan Ries
fonte
3
Não há menção de UPNs na RFC 822, "Padrão para o formato de mensagens de texto da Internet ARPA". Os UPNs são uma "invenção" do Active Directory que une informações de Kerberos e LDAP para fornecer serviços de logon único (SSO) em um domínio (ou "região") de sistemas de computadores associados.
adaptr
Ah, desculpe - estava recebendo minhas informações em msdn.microsoft.com/en-us/library/windows/desktop/… ... Eu editarei minha resposta se encontrar a correta.
perfil completo de Ryan Ries
1
@adaptr RFC 822 foi tornado obsoleto há 10 anos - veja RFC 2822.
Jim B
@ Ryan, acho que o Active Directory é pesquisado de maneiras diferentes para os dois formatos diferentes - veja minha resposta.
Harry Johnston
@ JimB Eu acho que você verá que não, o RFC822 NÃO é obsoleto; o RFC2822 e o atual RFC 5322 se referem a ele, bem como uma infinidade de outros RFCs relacionados a email e conteúdo (5321 para iniciantes).
adaptr
1

O formato cortado ( DOMAIN\username) é realmente o NetBIOSequivalente ao nome DNS do domínio ( domain.mycompany.local).
O NetBIOSnome é limitado a 15 caracteres e não pode conter pontos, sublinhados, etc.

Esta página explica com mais detalhes:
* Jeff Schertz, 20/08/2012, Noções básicas sobre os formatos de nomeação do Active Directory (arquivado aqui .)

Como mencionado por @ harry-johnston acima, é realmente apenas o antigo formato compatível com NT4 e Windows 2000, mas parece ter permanecido como um formato favorito (é menos para digitar!). Eventualmente, o suporte ao formato herdado pode ir do Windows.

Provavelmente, é uma boa ideia colocar os usuários no hábito de usar o formato UPN, pois também evita problemas nos quais eles estão tendo problemas para fazer login em um PC com seu nome de usuário e não percebem que a caixa de login do Windows foi padronizada como local. Domínio do PC (por exemplo pc01\fred) ou quando eles se conectam a diferentes hosts da área de trabalho remota e precisam se lembrar de incluir o domínio e seu nome de usuário, porque o Cliente da Área de Trabalho Remota pode armazenar em cache outro nome de domínio usado anteriormente. Aderir ao formato UPN sempre que reduz o número de chamadas de suporte no final.

Tricrômico
fonte
É improvável que o "formato antigo" desapareça, pois ele ainda está sendo usado em ambientes que não são do AD. (Como é Host\usernameclaro, não há domínios sem AD) #
MSalters 31/07/19
-1

Há definitivamente uma diferença entre esses dois, apenas 99% dos usuários não terão problemas com isso. Vou tentar explicar a diferença e quando esse problema pode ocorrer.

Se você usar domínio \ nome de usuário ao tentar acessar um compartilhamento de arquivos, o DNS primeiro resolverá o domínio e verificará o nome de usuário. Se você usar o nome de usuário @ domain, ele verificará diretamente se o usuário está na ACL (lista de controle de acesso) e tem acesso. Então, o que importa, você pode pensar ... bem, imagine isso:

1 controlador de domínio com o nome DC01 e todos os clientes obtêm DNS e estão nesse domínio. Você deseja migrar e alguém adicionou outro servidor com o mesmo nome. O último servidor também se tornará um controlador de domínio, para que o SAM local não seja mais usado e também tenha um compartilhamento de arquivos.

Quando os usuários se conectam ao servidor, são solicitadas credenciais. Se você usar domínio \ nome de usuário, ele primeiro verificará o domínio atual, em vez de usar o novo domínio, e usamos contas do novo domínio no compartilhamento de arquivos. Assim, depois de encontrar o dc atual e verificar o nome de usuário, ele não pode ser encontrado. (mesmo que o nome de usuário e a senha sejam encontrados e sejam exatamente iguais, ele não funcionará, pois não usará o nome de usuário para verificar se é permitido na ACL, mas usará o SID. O sid será criado no diretório tempo de criação do usuário no AD e você tem uma alteração de 1 em um trilhão de que é o mesmo, ótimo hein :-P).

Andre Boom
fonte
-1. Eu realmente não posso seguir o que você está dizendo aqui. Onde você diz "Quando os usuários se conectam ao servidor", qual servidor você quer dizer, o antigo DC01 ou o novo DC01? De qualquer forma, o que aconteceu com o antigo DC01, ele foi encerrado, renomeado, removido do domínio ou o quê? Foi rebaixado corretamente primeiro? O que você quer dizer com "novo domínio", já que você não descreveu a criação de um novo domínio em nenhum momento? Se você usa "domínio \ nome de usuário", ele deve sempre pesquisar o domínio que você especificou explicitamente, está descrevendo um caso em que não é?
Harry Johnston
Além disso, "ele não usará o nome de usuário para verificar se é permitido na ACL, mas usará o SID" é o comportamento esperado - ele deve sempre fazer isso, independentemente de você usar domínio \ nome de usuário ou nome de usuário @ domínio. Você está falando de um caso em que existem dois domínios com o mesmo nome ou algo similarmente patológico?
Harry Johnston
O DNS primeiro resolverá o domínio e depois verificará o nome de usuário . O DNS verificará o nome de usuário? O que?
bahrep