Adakah perbedaan antara DOMAIN \ username dan username@domain.local?

Saya mencoba memecahkan masalah kesalahan otentikasi yang tidak jelas dan memerlukan beberapa informasi latar belakang.

• Apakah ada perbedaan antara proses Windows (dan program seperti Outlook) DOMAIN\usernamedan username@domain.local?

• Apa istilah yang tepat untuk dua format nama pengguna ini?

• Sunting : Secara khusus, apakah ada perbedaan dalam cara Windows mengotentikasi kedua format nama pengguna?

Dengan asumsi Anda memiliki lingkungan Direktori Aktif:

Saya percaya format backslash DOMAIN \ USERNAME akan mencari domain DOMAIN untuk objek pengguna yang Nama Akun SAM-nya adalah USERNAME.

Format nama pengguna @ domain UPN akan mencari hutan untuk objek pengguna yang Nama Prinsip Pengguna adalah nama pengguna @ domain.

Sekarang, biasanya akun pengguna dengan Nama Akun SAM dari USERNAME memiliki UPN dari USERNAME @ DOMAIN, jadi format mana pun harus mencari akun yang sama, setidaknya asalkan AD berfungsi penuh. Jika ada masalah replikasi atau Anda tidak dapat mencapai katalog global, format backslash mungkin berfungsi dalam kasus di mana format UPN akan gagal. Mungkin juga ada kondisi (abnormal) di mana kebalikannya berlaku - mungkin jika tidak ada pengontrol domain yang dapat dijangkau untuk domain target, misalnya.

Namun: Anda juga dapat secara eksplisit mengonfigurasi akun pengguna untuk memiliki UPN yang komponen nama penggunanya berbeda dengan Nama Akun SAM dan yang komponen domainnya berbeda dari nama domain.

Tab Akun di Active Directory Users and Computers menunjukkan UPN di bawah judul "Nama masuk pengguna" dan Nama Akun SAM di bawah judul "Nama masuk pengguna (pra-Windows 2000)". Jadi, jika Anda mengalami masalah dengan pengguna tertentu, saya akan memeriksa bahwa tidak ada perbedaan antara kedua nilai ini.

Catatan: ada kemungkinan pencarian tambahan dilakukan jika pencarian yang saya jelaskan di atas tidak menemukan akun pengguna. Misalnya, mungkin nama pengguna yang ditentukan dikonversi ke format lain (dengan cara yang jelas) untuk melihat apakah itu menghasilkan kecocokan. Juga harus ada beberapa prosedur untuk menemukan akun di domain tepercaya yang tidak ada di hutan. Saya tidak tahu di mana / apakah perilaku yang tepat didokumentasikan.

Hanya untuk semakin memperumit pemecahan masalah, klien Windows secara default akan menyimpan informasi tentang login interaktif yang berhasil, sehingga Anda mungkin dapat login ke klien yang sama bahkan jika informasi akun pengguna Anda di Active Directory tidak dapat diakses.

Saya mungkin bisa mengoreksi hal ini, tetapi tidak ada banyak perbedaan.

Domain \ Pengguna adalah format logon "lama", yang disebut nama masuk tingkat bawah . Juga dikenal dengan nama SAMAccountName dan nama masuk pra-Windows 2000 .

User@Domain.com adalah UPN - Nama Pokok Pengguna . Ini adalah "lebih disukai", format masuk yang lebih baru. Ini adalah nama masuk gaya Internet, yang harus dipetakan ke nama email pengguna. ( Ref. At MSDN )

Alasan untuk masuk dengan UPN saya pikir sebagian besar kosmetik - mereka secara hipotetis memberikan nama tunggal kepada pengguna Anda di perusahaan untuk masuk ke workstation mereka yang juga dapat bertindak sebagai alamat email perusahaan mereka.

sunting: Lebih banyak elaborasi - keuntungan lain dari UPN adalah Anda dapat menyiapkan lebih dari satu UPN yang valid untuk digunakan oleh pengguna. Sekali lagi, sebagian besar kosmetik. Tetapi yang penting adalah bahwa tidak semua aplikasi kompatibel dengan UPN, dan itu mungkin yang Anda alami.

sunting # 2: Saya suka jawaban Harry Johnston di bawah ini tentang dua format pencarian yang sedikit berbeda. Masuk akal, dan yang paling penting itu mungkin benar-benar menjelaskan masalah Anda. :)

Format yang dipotong ( DOMAIN\username) sebenarnya NetBIOSsetara dengan nama DNS domain ( domain.mycompany.local).
The NetBIOSNama terbatas pada 15 karakter dan tidak dapat berisi titik, garis bawah dll

Halaman ini menjelaskan lebih terinci:
* Jeff Schertz, 2012-08-20, Memahami Format Penamaan Direktori Aktif (Diarsipkan di sini .)

Seperti yang disebutkan oleh @ harry-johnston di atas, ini benar-benar hanya format NT4 dan Windows 2000 yang lama tetapi sepertinya macet sebagai format favorit (kurang untuk mengetik!). Akhirnya, dukungan untuk format lawas dapat pergi dari Windows.

Mungkin ide yang baik untuk membuat pengguna terbiasa menggunakan format UPN karena juga menghindari masalah di mana mereka mengalami masalah untuk masuk ke PC dengan nama pengguna mereka dan tidak menyadari bahwa kotak masuk Windows telah default ke lokal Domain PC (mis. pc01\fred) Atau ketika mereka terhubung ke host remote desktop yang berbeda dan harus ingat untuk memasukkan domain serta nama pengguna mereka karena Remote Desktop Client dapat men-cache nama domain lain yang sebelumnya digunakan. Menempel ke format UPN setiap kali hanya membuat lebih sedikit panggilan dukungan pada akhirnya.

Ada perbedaan pasti antara keduanya hanya 99% dari pengguna tidak akan memiliki masalah dengan itu. Saya akan mencoba menjelaskan perbedaannya dan kapan masalah seperti itu terjadi.

Jika Anda menggunakan domain \ username ketika Anda mencoba mengakses fileshare maka DNS akan menyelesaikan domain pertama dan kemudian memeriksa nama pengguna. Jika Anda menggunakan nama pengguna @ domain maka secara langsung akan memeriksa apakah pengguna ada di ACL (daftar kontrol akses) dan memiliki akses. Jadi apa bedanya Anda mungkin berpikir ... well, bayangkan ini:

1 pengontrol domain dengan nama DC01 dan semua klien mendapatkan dns dan berada di domain ini. Anda ingin bermigrasi dan seseorang menambahkan server lain dengan nama yang sama. Server yang terakhir juga akan menjadi DC sehingga SAM lokal tidak akan digunakan lagi dan juga memiliki berbagi file.

Ketika pengguna akan terhubung ke server mereka diminta untuk kredensial. Jika Anda menggunakan domain \ username terlebih dahulu akan memeriksa domain saat ini alih-alih menggunakan domain baru dan kami menggunakan akun dari domain baru pada pembagian file. Jadi, ketika telah menemukan dc saat ini dan memeriksa nama pengguna itu tidak dapat ditemukan. (bahkan jika nama pengguna dan kata sandi ditemukan dan persis sama, itu tidak akan berfungsi karena tidak akan menggunakan nama pengguna untuk memverifikasi jika diizinkan dalam ACL tetapi akan menggunakan SID. Sid akan dibuat di waktu pembuatan pengguna dalam AD dan Anda memiliki perubahan 1 dalam satu triliun sehingga sama, bagus ya :-P).