要求に対応するアプリケーションを使用するために、会社のすべてのユーザーのUPNサフィックスをus.mycompany.local
からmycompany.com
に変更しました。変更前のテストで、UPNサフィックスを変更しても、ユーザーが古いサフィックスを使用して正常に認証できることがわかりました。私が理解していないのは、これがまだ機能する理由です。
上記のRyanとJoeのコメントは目標通りです。ユーザーがImplicitUPNを使用してログインしているようです。ドメインのFQDNはus.mycompany.local
ですか?
Active Directoryでは、各ユーザーに2つのUPNがあります。
明示的なUPN(eUPN):これは、ユーザーオブジェクトのuserPrincipalName
属性の値です。これは、フォレストで構成した代替UPNサフィックスに関係なく、任意の値に変更できます。
暗黙のUPN(iUPN):これは、ユーザーオブジェクトのsamAccountName
属性の値とドメインのFQDNの値を連結することによって構築されます。 FQDNは、LDAP://CN=DOMAIN_NETBIOS_NAME,CN=Partitions,CN=Configuration,DC=DOMAIN
に保存されているドメインのdnsRoot
オブジェクトのcrossRef
属性の値として保存されます。
DS MVPのJorge de Almeida Pintoは、より詳細な一連の投稿をしています。
競合がある場合、eUPNが「勝つ」ことにも注意する必要があります。たとえば、次の(とんでもない)シナリオを考えてみます。
example.com
user1
[email protected]
ユーザー名[email protected]
を使用してログインしようとすると、User2
としてログインします。ただし、User2のuserPrincipalName
を他のものに変更すると、User1
としてサインインします。
MSごとの詳細情報: MSKB929272:対話型ログオンスタイルとWindows Server 2003でのキー配布センターアカウントの検索
次の2つのうちのいずれかになります。
Domain name (pre-Windows 2000)
として追加され、機能しますActive Directory Domains and Trusts
に移動し、UPNとプレウィンドウ設定を確認します。