Benutzerbenennungsattribute
Benutzerbenennungsattribute identifizieren Benutzerobjekte, z. B. Anmeldenamen und IDs, die für Sicherheitszwecke verwendet werden. Die Attribute cn, name und distinguishedName sind Beispiele für Benutzerbenennungsattribute. Ein Benutzerobjekt ist ein Sicherheitsprinzipalobjekt und enthält daher auch die folgenden Benutzerbenennungsattribute:
- userPrincipalName – der Anmeldename für den Benutzer
- objectGUID – der eindeutige Bezeichner eines Benutzers
- sAMAccountName – ein Anmeldename, der frühere Windows-Versionen unterstützt
- objectSid – Sicherheitsbezeichner (SID) des Benutzers
- sIDHistory – die vorherigen SIDs für das Benutzerobjekt
Hinweis
Sie können diese Attribute mithilfe des MMC-Snap-Ins Active Directory-Benutzer und -Computer anzeigen und verwalten, das in den Remoteserververwaltungstools (Remote Server Administration Tools, RSAT) verfügbar ist.
userPrincipalName
Das userPrincipalName-Attribut ist der Anmeldename für den Benutzer. Das Attribut besteht aus einem Benutzerprinzipalnamen (User Principal Name, UPN), dem am häufigsten verwendeten Anmeldenamen für Windows-Benutzer. Benutzer verwenden in der Regel ihren UPN, um sich bei einer Domäne anzumelden. Dieses Attribut ist eine indizierte Zeichenfolge, die einwertig ist.
Ein UPN ist ein Anmeldename im Internetstil für einen Benutzer, der auf dem Internetstandard RFC 822 basiert. Der UPN ist kürzer als ein distinguished Name und leichter zu merken. Gemäß der Konvention sollte er dem E-Mail-Namen des Benutzers entsprechen. Der Punkt des UPN besteht darin, die E-Mail- und Anmeldenamespaces zu konsolidieren, sodass sich der Benutzer nur einen einzelnen Namen merken muss.
UPN-Format
Ein UPN besteht aus einem UPN-Präfix (dem Benutzerkontonamen) und einem UPN-Suffix (einem DNS-Domänennamen). Das Präfix wird mithilfe des @-Symbols mit dem Suffix verknüpft. Beispiel: "someone@ example.com". Ein UPN muss für alle Sicherheitsprinzipalobjekte innerhalb einer Verzeichnisgesamtstruktur eindeutig sein. Dies bedeutet, dass das Präfix eines UPN wiederverwendet werden kann, nur nicht mit demselben Suffix.
Ein UPN-Suffix hat die folgenden Einschränkungen:
- Dabei muss es sich um den DNS-Namen einer Domäne handeln, aber nicht um den Namen der Domäne, die den Benutzer enthält.
- Dabei muss es sich um den Namen einer Domäne in der aktuellen Domänengesamtstruktur oder um einen alternativen Namen handeln, der im upnSuffixes-Attribut des Containers Partitions innerhalb des Konfigurationscontainers aufgeführt ist.
UPN-Verwaltung
Ein UPN kann zugewiesen werden, ist aber nicht erforderlich, wenn ein Benutzerkonto erstellt wird. Wenn ein UPN erstellt wird, ist er von Änderungen an anderen Attributen des Benutzerobjekts nicht betroffen, z. B. der Benutzer, der umbenannt oder verschoben wird. Dadurch kann der Benutzer denselben Anmeldenamen beibehalten, wenn ein Verzeichnis neu strukturiert wird. Ein Administrator kann jedoch einen UPN ändern. Wenn Sie ein neues Benutzerobjekt erstellen, sollten Sie die lokale Domäne und den globalen Katalog auf den vorgeschlagenen Namen überprüfen, um sicherzustellen, dass es noch nicht vorhanden ist.
Wenn ein Benutzer einen UPN zum Anmelden bei einer Domäne verwendet, wird der UPN überprüft, indem er die lokale Domäne und dann den globalen Katalog durchsucht. Wenn der UPN nicht im globalen Katalog gefunden wird, schlägt der Anmeldeversuch fehl.
objectGUID
Das objectGUID-Attribut ist der eindeutige Bezeichner eines Benutzers. Das Attribut ist eine einwertige 128-Bit-GUID (Globally Unique Identifier) und wird als ADS_OCTET_STRING-Struktur gespeichert. Die GUID wird vom Active Directory-Server erstellt, wenn ein Benutzerobjekt erstellt wird.
Da sich der distinguished Name eines Objekts ändert, wenn das Objekt umbenannt oder verschoben wird, ist der distinguished Name kein zuverlässiger Bezeichner eines Objekts. In Active Directory Domain Services ändert sich das objectGUID-Attribut eines Objekts nie, auch wenn das Objekt umbenannt oder verschoben wird. Sie können die Zeichenfolgenform der objectGUID mithilfe der GUID-Eigenschaftsmethode in IADs-Eigenschaftenmethoden abrufen.
sAMAccountName
Das sAMAccountName-Attribut ist ein Anmeldename, der zur Unterstützung von Clients und Servern aus früheren Windows-Versionen verwendet wird, z. B. Windows NT 4.0, Windows 95, Windows 98 und LAN-Manager. Der Anmeldename muss mindestens 20 Zeichen lang sein und für alle Sicherheitsprinzipalobjekte innerhalb der Domäne eindeutig sein.
objectSid
Das objectSid-Attribut ist der Sicherheitsbezeichner (SID) des Benutzers. Die SID wird vom System verwendet, um einen Benutzer und seine Gruppenmitgliedschaften während der Interaktionen mit der Windows-Sicherheit zu identifizieren. Das Attribut ist einwertig. Die SID ist ein eindeutiger binärer Wert, der verwendet wird, um den Benutzer als Sicherheitsprinzipal zu identifizieren.
Die SID wird vom System festgelegt, wenn der Benutzer erstellt wird. Jeder Benutzer verfügt über eine eindeutige SID, die von einer Windows-Domäne ausgestellt und im objectSid-Attribut des Benutzerobjekts im Verzeichnis gespeichert ist. Jedes Mal, wenn sich ein Benutzer anmeldet, ruft das System die SID des Benutzers aus dem Verzeichnis ab und platziert sie im Zugriffstoken des Benutzers. Die SID des Benutzers wird auch verwendet, um die SIDs für die Gruppen abzurufen, deren Mitglied der Benutzer ist, und platziert sie im Zugriffstoken des Benutzers. Wenn eine SID als eindeutiger Bezeichner für einen Benutzer oder eine Gruppe verwendet wurde, kann sie nicht erneut verwendet werden, um einen anderen Benutzer oder eine andere Gruppe zu identifizieren.
Sidhistory
Das sIDHistory-Attribut enthält die vorherigen SIDs für das Benutzerobjekt. Dies ist ein mehrwertiges Attribut. Ein Benutzerobjekt verfügt über frühere SIDs, wenn der Benutzer in eine andere Domäne verschoben wurde. Wenn ein Benutzerobjekt in eine neue Domäne verschoben wird, wird eine neue SID erstellt und dem objectSid-Attribut zugewiesen, und die vorherige SID wird dem sIDHistory-Attribut hinzugefügt.
Zugehörige Themen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für