摘要:
用户命名属性标识用户对象,例如登录名和用于安全目的的 ID。... 本文内容显示另外 2 个
用户命名属性标识用户对象,例如登录名和用于安全目的的 ID。 cn、name 和 distinguishedName 属性是用户命名属性的示例。 用户对象是安全主体对象,因此它还包含以下用户命名属性:
备注
可以使用 Active Directory 用户和计算机 MMC 管理单元查看和管理这些属性,该管理单元在 远程服务器管理工具 (RSAT) 中提供。
userPrincipalName
userPrincipalName 属性是用户的登录名。 属性由用户主体名称 (UPN) 组成,这是 Windows 用户最常见的登录名。 用户通常使用其 UPN 登录到域。 此属性是一个单值索引字符串。
UPN 是基于 Internet 标准 RFC 822 的用户的 Internet 样式登录名。 UPN 比可分辨名称短,更易于记住。 按照惯例,这应映射到用户的电子邮件名称。 UPN 的要点是合并电子邮件和登录命名空间,以便用户只需记住单个名称。
UPN 格式
UPN 由 UPN 前缀(用户帐户名)和 UPN 后缀(DNS 域名)组成。 前缀与后缀以“@”符号相联接。 例如“someone@ example.com”。 UPN 必须在目录林中的所有安全主体对象之间保持唯一。 这意味着可以重复使用 UPN 的前缀,只是不能使用相同的后缀。
UPN 后缀具有以下限制:
UPN 管理
创建用户帐户时,可以分配 UPN,但不是必需的。 创建 UPN 时,它不受用户对象其他属性(如正在重命名或移动的用户)的更改影响。 这允许用户在重新构造目录时保留相同的登录名。 但是,管理员可以更改 UPN。 创建新的用户对象时,应检查建议名称的本地域和全局目录,以确保该对象不存在。
当用户使用 UPN 登录到域时,将通过搜索本地域和全局编录来验证 UPN。 如果在全局编录中找不到 UPN,则登录尝试失败。
objectGUID
objectGUID 属性是用户的唯一标识符。 属性是一个单值 128 位全局唯一标识符 (GUID) ,存储为 ADS_OCTET_STRING 结构。 创建用户对象时,由 Active Directory 服务器创建 GUID。
由于如果重命名或移动对象,对象的可分辨名称会更改,因此该可分辨名称不是对象的可靠标识符。 在 Active Directory 域服务 中,对象的 objectGUID 属性永远不会更改,即使对象已重命名或移动。 可以使用 IADs 属性方法中的 GUID 属性方法检索 objectGUID 的字符串形式。
sAMAccountName
sAMAccountName 属性是一个登录名,用于支持以前版本的 Windows 的客户端和服务器,例如 Windows NT 4.0、Windows 95、Windows 98 和 LAN Manager。 登录名必须为 20 个字符或更少,且在域内的所有安全主体对象中是唯一的。
objectSid
objectSid 属性是用户 (SID) 的安全标识符。 在与 Windows 安全交互期间,系统使用 SID 来标识用户及其组成员身份。 属性为单值。 SID 是用于将用户标识为安全主体的唯一二进制值。
SID 在创建用户时由系统设置。 每个用户都有一个由 Windows 域颁发的唯一 SID,并存储在目录中用户对象的 objectSid 属性中。 用户每次登录时,系统都会从目录中检索用户的 SID,并将其置于用户的访问令牌中。 用户的 SID 还用于检索用户所属组的 SID,并将其置于用户的访问令牌中。 当 SID 已用作用户或组的唯一标识符时,它不能再次用于标识其他用户或组。
sIDHistory
sIDHistory 属性包含用户对象的先前 SID。 这是一个多值属性。 如果用户已移动到另一个域,则用户对象具有以前的 SID。 每当用户对象移动到新域时,将创建一个新的 SID 并分配 objectSid 属性,并将以前的 SID 添加到 sIDHistory 属性。
相关主题
用户对象属性
