1人のユーザーがMSActiveDirectoryを使用して複数の資格情報セットを持つことはできますか

あなたがしたいのは、2つのソースに対して認証をチェックするようにクライアントを変更することです。

つまり、Active Directoryに移行している間は、既存のデータベースを保持してください。クライアントにADアカウントを確認してもらい、それが認証されない場合は、レガシー認証ソースを確認してもらいます。

ADに複数のユーザー名/パスワードを受け入れさせるために行う損害は、長い間対処するものになります。すべてが移行されるまで、並列認証ソースを実行するだけです。

複数のパスワードを持つことはできませんが、複数のUPN拡張機能を使用して複数のユーザー名を持つことができます。

つまり、ドメインcontoso.comの場合、ログインを取得できます：[email protected] [email protected] [email protected]

これらはすべて同じアカウントに関連付けられています。ただし、パスワードは1つしかありません。

なぜあなたがこれをする必要があるのか​​私にはよくわかりませんが、これを行う本当の方法がないという点でサムに同意します。

ユーザーをコピーしたり、ユーザーにまったく同じ権限を付与したり、同じメールボックスやリソースなどにアクセスしたりすることもできますが、1つのアカウントに複数のユーザー名を設定する方法がわかりません。

Active Directoryは、単一のセキュリティ識別子（SID）について説明している内容をサポートしていません。各SIDには、ユーザー名とパスワードの組み合わせを1つだけ含めることができます。

これは、「jon1」と「jon2」の両方がメンバーであるグループオブジェクトを作成し、「Jon Smith」に関連するすべてのアクセス許可（ファイルシステム、Exchangeメールボックスなど）でそのグループを使用することで、機能的に行うことができます。 （とにかく、ほぼすべてのアクセス許可にグループを使用する必要があります。）JonのユーザーアカウントのSIDの代わりに、使用されているグループのSIDを処理できないソフトウェアを使用していない限り、問題はありません。

これを行うには非常に醜い方法がありますが、なぜそうしたいのですか？

Active DirectoryユーザーIDは、実際には、実際の名前、セキュリティ識別子、またはSIDによってアカウントを識別するための簡単な方法にすぎません。各ユーザーオブジェクトには、ログオンに使用できるいくつかの属性が割り当てられています。samaccountname、ユーザープリンシパル名などです。これらの値は異なる可能性がありますが、パスワードは1つだけです。 「ユーザーとコンピューター」MMCコンソールを介してユーザーを「コピー」することができます。これにより、両方のユーザーアカウントが同じグループメンバーシップと一般的なデータを持つようになりますが、それでも2つあります。パスワードが異なる個別のユーザーオブジェクト。SIDが異なり、ADによって異なるユーザーと見なされますが、アカウントにまったく同じ表示名を付けることで、同じように見えるようにすることができます。

本当に、本当にADを壊したい場合は、SID-History属性を使用して、重複するSIDをディレクトリに挿入してみてください。これをやろうとしないことを強くお勧めします。実際、AD構造と低レベルのプログラミングに非常に精通していない限り、それを行うのは困難です。 Microsoft移行ツールは[〜＃〜] not [〜＃〜]これは一意の属性値であると想定されているため、重複したSIDをSID履歴に挿入できます。 MFCを使用して独自のアクセス方法を記述し、いくつかの組み込みのセーフガードをオーバーライドすれば、それが可能になると思います。しかし、これをしないでください。