主页 / server / 问题 / 496152
Accepted
Jim B
Asked: 2013-04-05 07:06:35 +0800 CST

为什么一个用户可以通过多个 UPN 登录?

  • 772

我已将公司的所有用户 UPN 后缀从us.mycompany.local更改mycompany.com为 以使用声明感知应用程序。在更改前的测试中,我发现即使我更改了 UPN 后缀,用户也可以使用旧后缀成功进行身份验证。我不明白的是为什么这仍然有效。

active-directory

2 个回答

  1. Best Answer

    Ryan 和 Joe 的上述评论是中肯的。听起来您的用户正在使用他们的隐式UPN 登录。是您域的 FQDNus.mycompany.local吗?

    在 Active Directory 中,每个用户都有两个 UPN:

    1. 显式 UPN (eUPN):这是用户对象userPrincipalName属性的值。这可以更改为任何值,而不管您在林中配置的任何备用 UPN 后缀。

    2. 隐式 UPN (iUPN):这是通过将用户对象的samAccountName属性值与域的 FQDN 值连接起来构建的。FQDN 存储为存储在)dnsRoot的域crossRef对象的属性值LDAP://CN=DOMAIN_NETBIOS_NAME,CN=Partitions,CN=Configuration,DC=DOMAIN

    DS MVP Jorge de Almeida Pinto 发表了一系列更详细的帖子:

    编辑 1:

    还值得注意的是,如果存在冲突,eUPN 将“获胜”。例如,考虑以下(虽然荒谬)场景:

    • 域名:example.com
    • 用户 1 的 samAccountName:user1
    • User2 的 userPrincipalName (eUPN):[email protected]

    如果您尝试使用用户名登录[email protected],您将以User2. 但是,如果您将 User2 更改userPrincipalName为其他任何内容,您将以User1.

    编辑 2:

    每个 MS 的更多信息:MSKB929272:Windows Server 2003 中的交互式登录样式和密钥分发中心帐户查找

    • 12

  2. 它可能是以下两种情况之一:

    1. 新的 UPN 作为替代 UPN 添加,原始的仍然有效。
    2. 旧的 UPN 添加为Domain name (pre-Windows 2000),并且可以正常使用

    转到Active Directory Domains and Trusts并检查 UPN(s) 和 pre-windows 设置。

    • 0

相关问题