Adakah perbedaan antara DOMAIN \ username dan username@domain.local?


46

Saya mencoba memecahkan masalah kesalahan otentikasi yang tidak jelas dan memerlukan beberapa informasi latar belakang.

  • Apakah ada perbedaan antara proses Windows (dan program seperti Outlook) DOMAIN\usernamedan username@domain.local?

  • Apa istilah yang tepat untuk dua format nama pengguna ini?

  • Sunting : Secara khusus, apakah ada perbedaan dalam cara Windows mengotentikasi kedua format nama pengguna?


Anda mungkin tertarik pada salah satu pertanyaan saya sebelumnya .
Belmin Fernandez

Jawaban:


38

Dengan asumsi Anda memiliki lingkungan Direktori Aktif:

Saya percaya format backslash DOMAIN \ USERNAME akan mencari domain DOMAIN untuk objek pengguna yang Nama Akun SAM-nya adalah USERNAME.

Format nama pengguna @ domain UPN akan mencari hutan untuk objek pengguna yang Nama Prinsip Pengguna adalah nama pengguna @ domain.

Sekarang, biasanya akun pengguna dengan Nama Akun SAM dari USERNAME memiliki UPN dari USERNAME @ DOMAIN, jadi format mana pun harus mencari akun yang sama, setidaknya asalkan AD berfungsi penuh. Jika ada masalah replikasi atau Anda tidak dapat mencapai katalog global, format backslash mungkin berfungsi dalam kasus di mana format UPN akan gagal. Mungkin juga ada kondisi (abnormal) di mana kebalikannya berlaku - mungkin jika tidak ada pengontrol domain yang dapat dijangkau untuk domain target, misalnya.

Namun: Anda juga dapat secara eksplisit mengonfigurasi akun pengguna untuk memiliki UPN yang komponen nama penggunanya berbeda dengan Nama Akun SAM dan yang komponen domainnya berbeda dari nama domain.

Tab Akun di Active Directory Users and Computers menunjukkan UPN di bawah judul "Nama masuk pengguna" dan Nama Akun SAM di bawah judul "Nama masuk pengguna (pra-Windows 2000)". Jadi, jika Anda mengalami masalah dengan pengguna tertentu, saya akan memeriksa bahwa tidak ada perbedaan antara kedua nilai ini.

Catatan: ada kemungkinan pencarian tambahan dilakukan jika pencarian yang saya jelaskan di atas tidak menemukan akun pengguna. Misalnya, mungkin nama pengguna yang ditentukan dikonversi ke format lain (dengan cara yang jelas) untuk melihat apakah itu menghasilkan kecocokan. Juga harus ada beberapa prosedur untuk menemukan akun di domain tepercaya yang tidak ada di hutan. Saya tidak tahu di mana / apakah perilaku yang tepat didokumentasikan.

Hanya untuk semakin memperumit pemecahan masalah, klien Windows secara default akan menyimpan informasi tentang login interaktif yang berhasil, sehingga Anda mungkin dapat login ke klien yang sama bahkan jika informasi akun pengguna Anda di Active Directory tidak dapat diakses.


1
Saya suka jawaban ini lebih baik daripada jawaban saya. Bagus sekali.
Ryan Ries

Jika Anda meminta AD dengan ldapsearch, Anda akan menemukan nama login tingkat bawah di atribut msDS-PrincipalName, yang harus Anda minta secara eksplisit karena ini merupakan "atribut operasional".
Eric

22

Saya mungkin bisa mengoreksi hal ini, tetapi tidak ada banyak perbedaan.

Domain \ Pengguna adalah format logon "lama", yang disebut nama masuk tingkat bawah . Juga dikenal dengan nama SAMAccountName dan nama masuk pra-Windows 2000 .

User@Domain.com adalah UPN - Nama Pokok Pengguna . Ini adalah "lebih disukai", format masuk yang lebih baru. Ini adalah nama masuk gaya Internet, yang harus dipetakan ke nama email pengguna. ( Ref. At MSDN )

Alasan untuk masuk dengan UPN saya pikir sebagian besar kosmetik - mereka secara hipotetis memberikan nama tunggal kepada pengguna Anda di perusahaan untuk masuk ke workstation mereka yang juga dapat bertindak sebagai alamat email perusahaan mereka.

sunting: Lebih banyak elaborasi - keuntungan lain dari UPN adalah Anda dapat menyiapkan lebih dari satu UPN yang valid untuk digunakan oleh pengguna. Sekali lagi, sebagian besar kosmetik. Tetapi yang penting adalah bahwa tidak semua aplikasi kompatibel dengan UPN, dan itu mungkin yang Anda alami.

sunting # 2: Saya suka jawaban Harry Johnston di bawah ini tentang dua format pencarian yang sedikit berbeda. Masuk akal, dan yang paling penting itu mungkin benar-benar menjelaskan masalah Anda. :)


3
Tidak disebutkan tentang UPN di RFC 822, "Standar untuk format pesan teks Internet ARPA". UPN adalah "penemuan" Direktori Aktif yang menyatukan informasi Kerberos dan LDAP untuk menyediakan layanan Single-Sign-On (SSO) di seluruh domain (atau "ranah") sistem komputer terkait.
adaptr

Ah, maaf - saya mendapat info dari msdn.microsoft.com/en-us/library/windows/desktop/… ... Saya akan mengedit jawaban saya jika saya menemukan yang tepat.
Ryan Ries

1
@adaptr RFC 822 sudah usang 10 tahun yang lalu - lihat rfc 2822.
Jim B

@Ryan, saya pikir Active Directory dicari dengan cara yang berbeda untuk dua format berbeda - lihat jawaban saya.
Harry Johnston

@ JimB Saya pikir Anda akan menemukan bahwa tidak, RFC822 TIDAK usang; baik RFC2822 dan RFC 5322 saat ini merujuk padanya, serta banyak RFC lain yang terkait dengan surat dan konten (5321 sebagai permulaan).
adapttr

1

Format yang dipotong ( DOMAIN\username) sebenarnya NetBIOSsetara dengan nama DNS domain ( domain.mycompany.local).
The NetBIOSNama terbatas pada 15 karakter dan tidak dapat berisi titik, garis bawah dll

Halaman ini menjelaskan lebih terinci:
* Jeff Schertz, 2012-08-20, Memahami Format Penamaan Direktori Aktif (Diarsipkan di sini .)

Seperti yang disebutkan oleh @ harry-johnston di atas, ini benar-benar hanya format NT4 dan Windows 2000 yang lama tetapi sepertinya macet sebagai format favorit (kurang untuk mengetik!). Akhirnya, dukungan untuk format lawas dapat pergi dari Windows.

Mungkin ide yang baik untuk membuat pengguna terbiasa menggunakan format UPN karena juga menghindari masalah di mana mereka mengalami masalah untuk masuk ke PC dengan nama pengguna mereka dan tidak menyadari bahwa kotak masuk Windows telah default ke lokal Domain PC (mis. pc01\fred) Atau ketika mereka terhubung ke host remote desktop yang berbeda dan harus ingat untuk memasukkan domain serta nama pengguna mereka karena Remote Desktop Client dapat men-cache nama domain lain yang sebelumnya digunakan. Menempel ke format UPN setiap kali hanya membuat lebih sedikit panggilan dukungan pada akhirnya.


Tidak mungkin "format lama" akan hilang, karena itu masih digunakan untuk lingkungan non-AD. ( Host\usernameTentu saja, tidak ada domain tanpa AD)
MSalters

-1

Ada perbedaan pasti antara keduanya hanya 99% dari pengguna tidak akan memiliki masalah dengan itu. Saya akan mencoba menjelaskan perbedaannya dan kapan masalah seperti itu terjadi.

Jika Anda menggunakan domain \ username ketika Anda mencoba mengakses fileshare maka DNS akan menyelesaikan domain pertama dan kemudian memeriksa nama pengguna. Jika Anda menggunakan nama pengguna @ domain maka secara langsung akan memeriksa apakah pengguna ada di ACL (daftar kontrol akses) dan memiliki akses. Jadi apa bedanya Anda mungkin berpikir ... well, bayangkan ini:

1 pengontrol domain dengan nama DC01 dan semua klien mendapatkan dns dan berada di domain ini. Anda ingin bermigrasi dan seseorang menambahkan server lain dengan nama yang sama. Server yang terakhir juga akan menjadi DC sehingga SAM lokal tidak akan digunakan lagi dan juga memiliki berbagi file.

Ketika pengguna akan terhubung ke server mereka diminta untuk kredensial. Jika Anda menggunakan domain \ username terlebih dahulu akan memeriksa domain saat ini alih-alih menggunakan domain baru dan kami menggunakan akun dari domain baru pada pembagian file. Jadi, ketika telah menemukan dc saat ini dan memeriksa nama pengguna itu tidak dapat ditemukan. (bahkan jika nama pengguna dan kata sandi ditemukan dan persis sama, itu tidak akan berfungsi karena tidak akan menggunakan nama pengguna untuk memverifikasi jika diizinkan dalam ACL tetapi akan menggunakan SID. Sid akan dibuat di waktu pembuatan pengguna dalam AD dan Anda memiliki perubahan 1 dalam satu triliun sehingga sama, bagus ya :-P).


-1. Saya benar-benar tidak bisa mengikuti apa yang Anda katakan di sini. Di mana Anda mengatakan "Kapan pengguna akan terhubung ke server" server mana yang Anda maksud, DC01 lama, atau DC01 baru? Apa yang terjadi pada DC01 lama, apakah itu dinonaktifkan, diganti namanya, dihapus dari domain, atau apa? Apakah benar diturunkan terlebih dahulu? Apa yang Anda maksud dengan "domain baru", karena Anda tidak mendeskripsikan pembuatan domain baru pada titik mana pun? Jika Anda menggunakan "domain \ username" itu harus selalu mencari domain yang Anda tentukan secara eksplisit, apakah Anda menggambarkan suatu kasus di mana tidak?
Harry Johnston

Juga, "itu tidak akan menggunakan nama pengguna untuk memverifikasi jika diizinkan di ACL tetapi akan menggunakan SID" adalah perilaku yang diharapkan - itu harus selalu melakukan itu, terlepas dari apakah Anda menggunakan domain \ nama pengguna atau nama pengguna @ domain. Apakah Anda berbicara tentang kasus di mana ada dua domain dengan nama yang sama, atau sesuatu yang serupa bersifat patologis?
Harry Johnston

DNS akan terlebih dahulu menyelesaikan domain dan kemudian memeriksa nama pengguna . DNS akan memeriksa nama pengguna? Apa?
bahrep
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.