Attributs d’affectation de noms d’utilisateur

  • Article

Les attributs de nommage utilisateur identifient les objets utilisateur, tels que les noms d’ouverture de session et les ID utilisés à des fins de sécurité. Les attributs cn, name et distinguishedName sont des exemples d’attributs de nommage utilisateur. Un objet utilisateur étant un objet principal de sécurité, il inclut également les attributs d’affectation de noms d’utilisateur suivants :

  • userPrincipalName : nom d’ouverture de session de l’utilisateur
  • objectGUID : identificateur unique d’un utilisateur
  • sAMAccountName : nom d’ouverture de session qui prend en charge la version précédente de Windows
  • objectSid : identificateur de sécurité (SID) de l’utilisateur
  • sIDHistory : les SID précédents pour l’objet utilisateur

Notes

Vous pouvez afficher et gérer ces attributs à l’aide du composant logiciel enfichable MMC Utilisateur et ordinateurs Active Directory, disponible dans les Outils d’administration de serveur distant (RSAT).

 

userPrincipalName

L’attribut userPrincipalName est le nom d’ouverture de session de l’utilisateur. L’attribut se compose d’un nom d’utilisateur principal (UPN), qui est le nom d’ouverture de session le plus courant pour les utilisateurs Windows. Les utilisateurs utilisent généralement leur UPN pour se connecter à un domaine. Cet attribut est une chaîne indexée à valeur unique.

Un UPN est un nom de connexion de style Internet pour un utilisateur basé sur la norme Internet RFC 822. L’UPN est plus court qu’un nom unique et plus facile à mémoriser. Par convention, il doit correspondre au nom de l’adresse électronique de l’utilisateur. Le but de l’UPN est de consolider les espaces de noms de messagerie et d’ouverture de session afin que l’utilisateur n’ait besoin de mémoriser qu’un seul nom.

UPN Format

Un UPN se compose d’un préfixe UPN (nom de compte d’utilisateur) et d’un suffixe UPN (nom de domaine DNS). Le préfixe et le suffixe sont liés par le symbole « @ », Par exemple, « someone@ example.com ». Un UPN doit être unique parmi tous les objets principaux de sécurité d’une forêt de répertoires. Cela signifie que le préfixe d’un UPN peut être réutilisé, mais pas avec le même suffixe.

Un suffixe UPN présente les restrictions suivantes :

  • Il doit s’agir du nom DNS d’un domaine, mais pas nécessairement du nom du domaine qui contient l’utilisateur.
  • Il doit s’agir du nom d’un domaine dans la forêt de domaines actuelle ou d’un autre nom répertorié dans l’attribut upnSuffixes du conteneur Partitions dans le conteneur Configuration.

Gestion upn

Un UPN peut être affecté, mais n’est pas obligatoire, lors de la création d’un compte d’utilisateur. Lorsqu’un UPN est créé, il n’est pas affecté par les modifications apportées à d’autres attributs de l’objet utilisateur, tels que l’utilisateur renommé ou déplacé. Cela permet à l’utilisateur de conserver le même nom de connexion si un répertoire est restructuré. Toutefois, un administrateur peut modifier un UPN. Lorsque vous créez un objet utilisateur, vous devez case activée le domaine local et le catalogue global pour le nom proposé afin de vous assurer qu’il n’existe pas déjà.

Lorsqu’un utilisateur utilise un UPN pour se connecter à un domaine, l’UPN est validé en effectuant une recherche dans le domaine local, puis dans le catalogue global. Si l’UPN est introuvable dans le catalogue global, la tentative d’ouverture de session échoue.

objectGUID

L’attribut objectGUID est l’identificateur unique d’un utilisateur. L’attribut est un identificateur global unique (GUID) 128 bits à valeur unique et est stocké en tant que structure ADS_OCTET_STRING . Le GUID est créé par le serveur Active Directory lorsqu’un objet utilisateur est créé.

Étant donné que le nom unique d’un objet change si l’objet est renommé ou déplacé, le nom unique n’est pas un identificateur fiable d’un objet. Dans services de domaine Active Directory, l’attribut objectGUID d’un objet ne change jamais, même si l’objet est renommé ou déplacé. Vous pouvez récupérer la forme de chaîne de l’objetGUID à l’aide de la méthode de propriété GUID dans IADs Property Methods.

sAMAccountName

L’attribut sAMAccountName est un nom d’ouverture de session utilisé pour prendre en charge les clients et les serveurs de la version précédente de Windows, par exemple Windows NT 4.0, Windows 95, Windows 98 et GESTIONNAIRE DE RÉSEAU. Le nom d’ouverture de session doit comporter au maximum 20 caractères et être unique parmi tous les objets de principal de sécurité au sein du domaine.

objectSid

L’attribut objectSid est l’identificateur de sécurité (SID) de l’utilisateur. Le SID est utilisé par le système pour identifier un utilisateur et ses appartenances à un groupe pendant les interactions avec la sécurité Windows. L’attribut est à valeur unique. Le SID est une valeur binaire unique utilisée pour identifier l’utilisateur en tant que principal de sécurité.

Le SID est défini par le système lors de la création de l’utilisateur. Chaque utilisateur a un SID unique émis par un domaine Windows et stocké dans l’attribut objectSid de l’objet utilisateur dans le répertoire. Chaque fois qu’un utilisateur se connecte, le système récupère le SID de l’utilisateur à partir du répertoire et le place dans le jeton d’accès de l’utilisateur. Le SID de l’utilisateur est également utilisé pour récupérer les SID des groupes dont l’utilisateur est membre et les place dans le jeton d’accès de l’utilisateur. Lorsqu’un SID a été utilisé comme identificateur unique d’un utilisateur ou d’un groupe, il ne peut pas être utilisé à nouveau pour identifier un autre utilisateur ou groupe.

Sidhistory

L’attribut sIDHistory contient les SID précédents pour l’objet utilisateur. Il s’agit d’un attribut à valeurs multiples. Un objet utilisateur a des SID précédents si l’utilisateur a été déplacé vers un autre domaine. Chaque fois qu’un objet utilisateur est déplacé vers un nouveau domaine, un nouveau SID est créé et affecté à l’attribut objectSid , et le SID précédent est ajouté à l’attribut sIDHistory .

Attributs d’objet utilisateur