Toute différence entre DOMAIN \ nom d'utilisateur et nom d'utilisateur@domaine.local?


46

J'essaie de résoudre une erreur d'authentification obscure et j'ai besoin d'informations de fond.

  • Existe-t-il une différence entre la façon dont Windows (et les programmes comme Outlook) traitent DOMAIN\usernameet username@domain.local?

  • Quels sont les termes appropriés pour ces deux formats de nom d'utilisateur?

  • Edit : En particulier, existe-t-il des différences dans la manière dont Windows authentifie les deux formats de nom d'utilisateur?


Vous pourriez être intéressé par l'une de mes questions précédentes .
Belmin Fernandez

Réponses:


38

En supposant que vous ayez un environnement Active Directory:

Je crois que le format de barre oblique inversée DOMAIN \ USERNAME cherchera dans le domaine DOMAIN un objet utilisateur dont le nom de compte SAM est USERNAME.

Le nom d'utilisateur @ domain au format UPN recherchera dans la forêt un objet utilisateur dont le nom de principe d'utilisateur est username @ domain.

Maintenant, normalement, un compte utilisateur avec un nom de compte SAM USERNAME a un UPN USERNAME @ DOMAIN. Par conséquent, le format doit localiser le même compte, du moins si l’AD est pleinement fonctionnel. S'il existe des problèmes de réplication ou si vous ne parvenez pas à atteindre un catalogue global, le format de la barre oblique inverse peut fonctionner dans les cas où le format UPN échouera. Il peut également y avoir des conditions (anormales) dans lesquelles l'inverse s'applique - par exemple, si aucun contrôleur de domaine ne peut être atteint pour le domaine cible.

Toutefois, vous pouvez également configurer explicitement un compte d'utilisateur pour avoir un UPN dont le composant nom d'utilisateur est différent du nom de compte SAM et dont le composant de domaine est différent du nom du domaine.

L'onglet Compte dans Utilisateurs et ordinateurs Active Directory affiche le UPN sous le titre "Nom de connexion de l'utilisateur" et le Nom du compte SAM sous le titre "Nom de connexion de l'utilisateur (avant Windows 2000)". Donc, si vous rencontrez des problèmes avec des utilisateurs particuliers, je vérifierais qu'il n'y a pas de différences entre ces deux valeurs.

Remarque: il est possible que des recherches supplémentaires soient effectuées si la recherche que je décris ci-dessus ne trouve pas le compte d'utilisateur. Par exemple, le nom d'utilisateur spécifié est peut-être converti dans l'autre format (de manière évidente) pour voir si cela produit une correspondance. Il doit également exister une procédure permettant de rechercher des comptes dans des domaines approuvés ne figurant pas dans la forêt. Je ne sais pas où / si le comportement exact est documenté.

Pour compliquer encore les choses, les clients Windows mettent par défaut en cache les informations relatives aux ouvertures de session interactives, de sorte que vous puissiez vous connecter au même client même si les informations de votre compte utilisateur dans Active Directory sont inaccessibles.


1
J'aime cette réponse mieux que la mienne. Bien fait.
Ryan Ries

Si vous interrogez AD avec ldapsearch, vous trouverez le nom de connexion de niveau inférieur dans l'attribut msDS-PrincipalName, que vous devez demander explicitement puisqu'il s'agit d'un "attribut opérationnel".
Eric

22

On me corrigera peut-être à ce sujet, mais il n'y a pas vraiment de grande différence.

Domain \ User est le "vieux" format de connexion, appelé nom de connexion de niveau inférieur . Également connu sous les noms SAMAccountName et nom d'ouverture de session antérieure à Windows 2000 .

Utilisateur@Domaine.com est un nom principal d'utilisateur (UPN) . C'est le format de connexion "préféré", plus récent. C'est un nom de connexion de type Internet, qui doit correspondre au nom de messagerie de l'utilisateur. ( Voir MSDN )

Je pense que les raisons de se connecter avec des UPN sont essentiellement esthétiques: elles donnent en principe à vos utilisateurs de votre entreprise un nom unique leur permettant de se connecter à leurs postes de travail et pouvant également servir d’adresse électronique professionnelle.

edit: Plus d’élaboration - un autre avantage des UPN est que vous pouvez configurer plusieurs UPN valides avec lesquels vos utilisateurs peuvent se connecter. Encore une fois, en grande partie esthétique. Mais l’important est que toutes les applications ne sont pas compatibles avec les UPN, et c’est peut-être ce que vous rencontrez.

Edit # 2: J'aime la réponse de Harry Johnston ci-dessous sur les deux formats de recherche légèrement différents effectués. Cela a du sens, et surtout, cela pourrait en fait expliquer votre problème. :)


3
La RFC 822, "Standard pour le format des messages texte Internet ARPA", ne fait aucune mention des UPN. Les UPN sont une "invention" Active Directory qui lie les informations Kerberos et LDAP afin de fournir des services d'authentification unique (SSO) sur un domaine (ou "domaine") de systèmes informatiques associés.
Adaptr

Ah, désolé - je recevais mes informations de msdn.microsoft.com/en-us/library/windows/desktop/… ... Je modifierai ma réponse si je trouve la bonne.
Ryan Ries

1
@adaptr RFC 822 était obsolète il y a 10 ans - voir RFC 2822.
Jim B

@ Ryan, je pense que Active Directory est recherché de deux manières différentes pour les deux formats différents - voir ma réponse.
Harry Johnston

@ JimB Je pense que vous constaterez que non, la RFC822 n'est PAS obsolète; La RFC2822 et la RFC 5322 actuelle y font référence, ainsi qu'une multitude d'autres RFC relatives au courrier et au contenu (5321 pour les débutants).
Adaptr

1

Le format barré ( DOMAIN\username) est en réalité l' NetBIOSéquivalent du nom DNS du domaine ( domain.mycompany.local).
Le NetBIOSnom est limité à 15 caractères et ne peut pas contenir de points, de traits de soulignement, etc.

Cette page explique plus en détail:
* Jeff Schertz, 2012-08-20, Présentation des formats de dénomination Active Directory (archivé ici .)

Comme mentionné par @ harry-johnston ci-dessus, il ne s’agit que du vieux format compatible avec NT4 et Windows 2000, mais il semble être resté comme un format favori (c’est moins difficile à taper!). Finalement, le support du format hérité peut passer de Windows.

C'est probablement une bonne idée de donner aux utilisateurs l'habitude d'utiliser le format UPN, car cela évite également les problèmes de connexion à un PC avec leur nom d'utilisateur et ne réalise pas que la zone de connexion Windows est définie par défaut sur l'adresse locale. Domaine PC (par exemple pc01\fred) ou lorsqu’ils se connectent à différents hôtes de postes de travail distants et doivent se rappeler d’inclure le domaine ainsi que leur nom d’utilisateur, car le client Bureau à distance peut mettre en cache un autre nom de domaine précédemment utilisé. Si vous vous en tenez au format UPN à chaque fois, le nombre d'appels au support technique diminue.


Il est peu probable que «l'ancien format» disparaisse, car il est encore utilisé pour les environnements non AD. ( Host\usernameBien sûr, pas de domaines sans AD)
MSalters le

-1

Il y a bien une différence entre ces deux là, seulement 99% des utilisateurs n'auront pas de problème avec ça. Je vais essayer d'expliquer la différence et quand un tel problème peut survenir.

Si vous utilisez domaine \ nom d'utilisateur lorsque vous essayez d'accéder à un partage de fichiers, DNS commence par résoudre le domaine, puis vérifie le nom d'utilisateur. Si vous utilisez nomutilisateur @ domaine, il vérifiera directement si l'utilisateur est sur la liste de contrôle d'accès (ACL) et a accès. Alors, qu'importe que vous puissiez penser ... eh bien, imaginez ceci:

1 contrôleur de domaine avec le nom DC01 et tous les clients reçoivent des DNS et se trouvent dans ce domaine. Vous voulez migrer et quelqu'un a ajouté un autre serveur du même nom. Ce dernier serveur deviendra également un contrôleur de domaine afin que le SAM local ne soit plus utilisé et dispose également d'un partage de fichiers.

Lorsque les utilisateurs se connectent au serveur, ils sont invités à fournir leurs informations d'identification. Si vous utilisez domaine \ nom d'utilisateur, il vérifiera d'abord le domaine actuel au lieu d'utiliser le nouveau domaine. Nous avons utilisé les comptes du nouveau domaine sur le partage de fichiers. Donc, une fois le courant continu trouvé et le nom d'utilisateur vérifié, il est introuvable. (Même si le nom d'utilisateur et le mot de passe sont trouvés et sont exactement identiques, cela ne fonctionnera pas, car il ne l'utilisera pas pour vérifier s'il est autorisé dans la liste de contrôle d'accès, mais il utilisera le SID. Le sid sera créé à la heure de création d'utilisateur dans AD et vous avez un changement de 1 dans un billion de dollars, c'est la même chose, c'est génial hein :-P).


-1. Je ne peux vraiment pas suivre ce que vous dites ici. Où vous dites "Quand les utilisateurs vont se connecter au serveur", de quel serveur parlez-vous, l'ancien DC01 ou le nouveau DC01? Qu’est-ce qui est arrivé à l’ancien DC01, at-il été mis hors service, renommé, supprimé du domaine ou quoi? At-il été rétrogradé correctement en premier? Qu'entendez-vous par "nouveau domaine", puisque vous n'avez jamais décrit la création d'un nouveau domaine? Si vous utilisez « domaine \ nom d' utilisateur » , il doit toujours rechercher le domaine spécifié explicitement, vous décrivez un cas où il ne le fait pas?
Harry Johnston

En outre, "le comportement attendu ne sera pas utilisé par le nom d'utilisateur pour vérifier si elle est autorisée dans la liste de contrôle d'accès, mais par le SID", ce qui devrait toujours être le cas, que vous utilisiez ou non domain \ username ou username @ domain. Parlez-vous d'un cas où il y a deux domaines portant le même nom, ou quelque chose d'aussi pathologique?
Harry Johnston

DNS va d'abord résoudre le domaine, puis vérifier le nom d'utilisateur . DNS va vérifier le nom d'utilisateur? Quelle?
Bahp
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.