web-dev-qa-db-ja.com

DOMAIN \ usernameと[email protected]に違いはありますか?

あいまいな認証エラーのトラブルシューティングを試みており、背景情報が必要です。

  • Windows(およびOutlookなどのプログラム)の処理方法に違いはありますかDOMAIN\usernameおよび[email protected]

  • これら2つのユーザー名形式の適切な用語は何ですか?

  • 編集:特に、Windowsが2つのユーザー名形式を認証する方法に違いはありますか?

windowsactive-directoryuser-accounts
48
Josh Kelley

Active Directory環境があると仮定します。

バックスラッシュ形式のDOMAIN\USERNAMEは、ドメインDOMAINでSAMアカウント名がUSERNAMEのユーザーオブジェクトを検索すると思います。

UPN形式のusername @ domainは、ユーザープリンシパル名がusername @ domainであるユーザーオブジェクトをフォレストで検索します。

現在、通常 SAMアカウント名がUSERNAMEのユーザーアカウントのUPNはUSERNAME @ DOMAINであるため、少なくともADが完全に機能していれば、どちらの形式でも同じアカウントを見つけることができます。レプリケーションの問題がある場合、またはグローバルカタログに到達できない場合、UPN形式が失敗する場合に円記号形式が機能する可能性があります。たとえば、ターゲットドメインのドメインコントローラーに到達できない場合など、逆が適用される(異常な)条件が存在する場合もあります。

ただし、ユーザーアカウントを明示的に構成して、ユーザー名のコンポーネントがSAMアカウント名とは異なり、ドメインのコンポーネントがドメインの名前とは異なるUPNを持つようにすることもできます。

Active Directoryユーザーとコンピュータの[アカウント]タブの[ユーザーログオン名]という見出しの下にUPNが表示され、[ユーザーログオン名(Windows 2000以前)]という見出しの下にSAMアカウント名が表示されます。したがって、特定のユーザーで問題が発生している場合は、これらの2つの値の間に矛盾がないことを確認します。

注:上記の検索でユーザーアカウントが見つからない場合は、追加の検索が行われる可能性があります。たとえば、指定されたユーザー名が他の形式に(明らかな方法で)変換され、一致するかどうかを確認します。フォレスト内にない信頼されたドメインでアカウントを見つけるためのいくつかの手順も必要です。正確な動作が文書化されている場所/場所がわかりません。

トラブルシューティングをさらに複雑にするために、Windowsクライアントはデフォルトで成功したインタラクティブログオンに関する情報をキャッシュするため、Active Directoryのユーザーアカウント情報にアクセスできない場合でも、同じクライアントにログインできる場合があります。

39
Harry Johnston

私はこれで修正されるかもしれませんが、それほど大きな違いはありません。

Domain\Userは「ダウンレベルログオン名」と呼ばれる「古い」ログオン形式です。 SAMAccountNameおよびWindows 2000以前のログオン名という名前でも知られています。

[email protected]UPN-ユーザープリンシパル名です。これは、「推奨」の新しいログオン形式です。これはインターネット形式のログイン名であり、ユーザーのメール名にマップする必要があります。 ( MSDNで参照

UPNを使用してログインする理由はほとんど見かけ上のものです。これらは、会社のユーザーに、会社の電子メールアドレスとしても機能するワークステーションにログオンするための単一の名前を仮説的に与えます。

edit:詳細な説明-UPNのもう1つの利点は、ユーザーがログオンするための有効なUPNを複数設定できることです。再び、主に化粧品です。ただし、重要なことは、すべてのアプリケーションがUPNと互換性があるわけではなく、それが発生している可能性があるということです。

edit#2:実行された2つのわずかに異なる検索形式について、以下のHarry Johnstonの回答が好きです。それは理にかなっており、最も重要なことは実際にあなたの問題を説明しているかもしれません。 :)

22
Ryan Ries

スラッシュ形式(DOMAIN\username)は、実際にはドメインのDNS名(domain.mycompany.local)と同等のNetBIOSです。
NetBIOSの名前は15文字に制限されており、ドット、アンダースコアなどを含めることはできません。

このページでは、さらに詳しく説明します。
* Jeff Schertz、2012-08-20、 Understanding Active Directory Naming Formats (アーカイブ ここ 。)

上記の@ harry-johnstonで述べたように、これは本当に古いNT4およびWindows 2000互換のフォーマットですが、お気に入りのフォーマット(タイプするのが少ない!)としてスタックしているようです。最終的に、レガシー形式のサポートはWindowsから提供される可能性があります。

ユーザーがユーザー名でPCにログインするときに問題が発生し、Windowsログインボックスがデフォルトでローカルに設定されていることに気付かないという問題も回避できるため、ユーザーにUPN形式を使用する習慣を身に付けることをお勧めしますPCドメイン(例:pc01\fred)または別のリモートデスクトップホストに接続し、リモートデスクトップクライアントが以前に使用した別のドメイン名をキャッシュする可能性があるため、ドメインとユーザー名を含めることを忘れないようにする必要がある場合。毎回UPN形式を使用することで、最終的にサポートコールが減ります。

1
Trichromic