Alguma diferença entre DOMAIN\username e [email protected]?

Supondo que você tenha um ambiente Active Directory:

Acredito que o formato de barra invertida DOMAIN\USERNAME pesquisará o domínio DOMAIN para um objeto de usuário cujo nome da conta SAM seja USERNAME.

O formato UPN nome de usuário@domínio pesquisará na floresta um objeto de usuário cujo nome principal do usuário seja nome de usuário@domínio.

Agora, normalmente uma conta de usuário com um nome de conta SAM de USERNAME tem um UPN de USERNAME@DOMAIN, portanto, qualquer formato deve localizar a mesma conta, pelo menos desde que o AD esteja totalmente funcional. Se houver problemas de replicação ou você não conseguir acessar um catálogo global, o formato de barra invertida poderá funcionar nos casos em que o formato UPN falhar. Também pode haver condições (anormais) sob as quais o inverso se aplica - talvez se nenhum controlador de domínio puder ser alcançado para o domínio de destino, por exemplo.

No entanto: você também pode configurar explicitamente uma conta de usuário para ter um UPN cujo componente de nome de usuário seja diferente do Nome da conta SAM e cujo componente de domínio seja diferente do nome do domínio.

A guia Conta em Usuários e Computadores do Active Directory mostra o UPN sob o título "Nome de logon do usuário" e o Nome da conta SAM sob o título "Nome de logon do usuário (pré-Windows 2000)". Portanto, se você estiver tendo problemas com usuários específicos, verifique se não há discrepâncias entre esses dois valores.

Nota: é possível que sejam feitas pesquisas adicionais se a pesquisa que descrevo acima não encontrar a conta do usuário. Por exemplo, talvez o nome de usuário especificado seja convertido em outro formato (da maneira óbvia) para ver se isso produz uma correspondência. Também deve haver algum procedimento para localizar contas em domínios confiáveis ​​que não estejam na floresta. Eu não sei onde/se o comportamento exato está documentado.

Apenas para complicar ainda mais a solução de problemas, os clientes Windows, por padrão, armazenarão em cache as informações sobre logons interativos bem-sucedidos, para que você possa fazer login no mesmo cliente, mesmo que as informações da sua conta de usuário no Active Directory estejam inacessíveis.

Eu posso ser corrigido sobre isso, mas não há realmente muita diferença.

Domínio\Usuário é o formato de logon "antigo", chamado nome de logon de nível inferior . Também conhecido pelos nomes SAMAccountName e nome de logon anterior ao Windows 2000 .

[email protected] é um UPN - User Principal Name . É o formato de logon "preferido" mais recente. É um nome de login no estilo da Internet, que deve ser mapeado para o nome de e-mail do usuário. ( Referência no MSDN )

As razões para fazer login com UPNs, eu acho, são principalmente cosméticas - eles hipoteticamente fornecem aos usuários em sua empresa um único nome para fazer logon em suas estações de trabalho, que também podem atuar como seu endereço de e-mail corporativo.

edit: Mais elaboração - outra vantagem dos UPNs é que você pode configurar mais de um UPN válido para seus usuários fazerem logon. Mais uma vez, em grande parte cosmética. Mas o importante é que nem todos os aplicativos são compatíveis com UPNs, e isso pode ser o que você está enfrentando.

edit # 2: Eu gosto da resposta de Harry Johnston abaixo sobre os dois formatos de pesquisa ligeiramente diferentes realizados. Faz sentido e, o mais importante, pode realmente explicar seu problema. :)

O formato cortado ( DOMAIN\username) é na verdade o NetBIOSequivalente ao nome DNS do domínio ( domain.mycompany.local).
O NetBIOSnome é limitado a 15 caracteres e não pode conter pontos, sublinhados etc.

Esta página explica com mais detalhes:

• Jeff Schertz, 20-08-2012, Entendendo os formatos de nomenclatura do Active Directory

Como mencionado por @harry-johnston acima, é realmente apenas o antigo formato compatível com NT4 e Windows 2000, mas parece ter ficado como um formato favorito (é menos para digitar!). Eventualmente, o suporte para o formato legado pode sair do Windows.

Provavelmente é uma boa ideia fazer com que os usuários tenham o hábito de usar o formato UPN, pois também evita problemas em que eles estão tendo problemas para fazer login em um PC com seu nome de usuário e não percebem que a caixa de login do Windows foi padronizada para o local Domínio do PC (por exemplo pc01\fred, ) ou quando eles se conectam a diferentes hosts de área de trabalho remota e precisam se lembrar de incluir o domínio e seu nome de usuário, pois o Cliente de Área de Trabalho Remota pode armazenar em cache outro nome de domínio usado anteriormente. Aderir ao formato UPN todas as vezes apenas gera menos chamadas de suporte no final.

Existe uma diferença definida entre esses dois, apenas 99% dos usuários não terão problemas com isso. Vou tentar explicar a diferença e quando tal problema pode ocorrer.

Se você usar domínio\nome de usuário ao tentar acessar um compartilhamento de arquivos, o DNS primeiro resolverá o domínio e, em seguida, verificará o nome de usuário. Se você usar nome de usuário@domínio, ele verificará diretamente se o usuário está na ACL (lista de controle de acesso) e tem acesso. Então, o que importa você pode pensar... bem, imagine isso:

1 controlador de domínio com nome DC01 e todos os clientes recebem dns e estão neste domínio. Você deseja migrar e alguém adicionou outro servidor com o mesmo nome. O último servidor também se tornará um DC para que o SAM local não seja mais usado e também tenha um compartilhamento de arquivos.

Quando os usuários se conectarem ao servidor, eles serão solicitados a fornecer credenciais. Se você usar domínio\nome de usuário, ele verificará primeiro o domínio atual em vez de usar o novo domínio e usamos contas do novo domínio no compartilhamento de arquivos. Então, uma vez que ele encontrou o dc atual e verifica o nome de usuário, ele não pode ser encontrado. (mesmo que o nome de usuário e a senha sejam encontrados e sejam exatamente iguais, não funcionará, pois não usará o nome de usuário para verificar se é permitido na ACL, mas usará o SID. O sid será criado no tempo de criação do usuário no AD e você tem uma mudança de 1 em um trilhão que é o mesmo, ótimo hein :-P ).