Действительно ли там такая вещь как “полностью определенное” имя пользователя в контексте аутентификации Windows?
Мое веб-приложение размещается на mydomain, со следующим URI, связанным с доменом: blah.net.
Я могу войти в использование любых из следующих имен пользователей:
- mydomain\ben
- ben@blah.net
Каковы названия каждого из этих типов входа в систему (и есть ли какие-либо различия), в контексте аутентификации Windows?
2 ответа
В mydomain\ben "ben" - это имя учетной записи SAM (Security Account Manager, старая система учетных записей Windows NT). Я не знаю, есть ли имя для всей конструкции "mydomain\ben".
ben@blah.net называется UPN или User Principal Name, где "blah.net" - это суффикс UPN.
В Active directory также есть нечто, называемое Distinguished Name или DN, которое для ben, вероятно, будет "CN=ben,OU=Users,DC=blah,DC=net". Это наиболее близкое к "полностью определенному" имя. Оно описывает и имя объекта (часть CN), и контейнер (часть OU), в котором он находится в активной директории, а также имя домена DNS (часть DC) активной директории.
Из этих трех параметров DN - единственный, который можно использовать для привязки к объекту пользователя LDAP, не имея никакой другой информации. Используя UPN, вы должны знать контроллер домена для запроса. (Можно также получить доступ к объекту из Domain\SamAccountName, но для этого нужно сначала найти контроллер домена для Domain, а затем выполнить поиск объекта с заданным SamAccountName).
Форматы, известные GetUserNameEx , перечислены в Перечисление EXTENDED_NAME_FORMAT .
Я думаю, что существует ограничение на длину SAM-совместимых имен, которое иногда можно преодолеть с помощью формата UPN.