Gibt es einen Unterschied zwischen DOMAIN \ username und username@domain.local?

Ich versuche, einen obskuren Authentifizierungsfehler zu beheben, und benötige Hintergrundinformationen.

• Gibt es einen Unterschied zwischen der Verarbeitung von Windows (und Programmen wie Outlook) DOMAIN\usernameund username@domain.local?

• Was sind die richtigen Begriffe für diese beiden Benutzernamenformate?

• Bearbeiten : Gibt es insbesondere Unterschiede in der Authentifizierung der beiden Benutzernamenformate durch Windows?

Angenommen, Sie haben eine Active Directory-Umgebung:

Ich glaube, dass das Backslash-Format DOMAIN \ USERNAME die Domain DOMAIN nach einem Benutzerobjekt durchsucht, dessen SAM-Kontoname USERNAME ist.

Das UPN-Format "Benutzername @ Domäne" durchsucht die Gesamtstruktur nach einem Benutzerobjekt, dessen Benutzerprinzipalname "Benutzername @ Domäne" lautet.

Nun, normalerweise ein Benutzerkonto mit einem SAM - Kontonamen von NUTZERNAME hat ein UPN von Benutzername @ domain, also entweder Format des gleiche Konto finden soll, zumindest die AD vorgesehen voll funktionsfähig ist. Wenn Replikationsprobleme vorliegen oder Sie keinen globalen Katalog erreichen können, funktioniert das Backslash-Format möglicherweise in Fällen, in denen das UPN-Format fehlschlägt. Es kann auch (abnormale) Bedingungen geben, unter denen das Gegenteil zutrifft - beispielsweise, wenn für die Zieldomäne keine Domänencontroller erreicht werden können.

Sie können ein Benutzerkonto jedoch auch explizit so konfigurieren, dass es einen UPN hat, dessen Benutzername-Komponente sich vom SAM-Kontonamen und dessen Domänen-Komponente vom Namen der Domäne unterscheidet.

Auf der Registerkarte Konto in Active Directory-Benutzer und -Computer wird der UPN unter der Überschrift "Benutzeranmeldename" und der SAM-Kontoname unter der Überschrift "Benutzeranmeldename (vor Windows 2000)" angezeigt. Wenn Sie also Probleme mit bestimmten Benutzern haben, würde ich prüfen, ob zwischen diesen beiden Werten keine Diskrepanzen bestehen.

Hinweis: Es ist möglich, dass zusätzliche Suchen durchgeführt werden, wenn bei der oben beschriebenen Suche das Benutzerkonto nicht gefunden wird. Beispielsweise wird der angegebene Benutzername möglicherweise (auf offensichtliche Weise) in ein anderes Format konvertiert, um festzustellen, ob dies zu einer Übereinstimmung führt. Es muss auch ein Verfahren zum Suchen von Konten in vertrauenswürdigen Domänen vorhanden sein, die sich nicht in der Gesamtstruktur befinden. Ich weiß nicht wo / ob das genaue Verhalten dokumentiert ist.

Um die Problembehandlung noch weiter zu vereinfachen, speichern Windows-Clients standardmäßig Informationen über erfolgreiche interaktive Anmeldungen im Cache, sodass Sie sich möglicherweise auch dann bei demselben Client anmelden können, wenn auf Ihre Benutzerkontoinformationen in Active Directory nicht zugegriffen werden kann.

Ich werde vielleicht korrigiert, aber es gibt keinen großen Unterschied.

Domäne \ Benutzer ist das "alte" Anmeldeformat, das als Anmeldename auf untergeordneter Ebene bezeichnet wird . Auch unter den Namen SAMAccountName und Anmeldename vor Windows 2000 bekannt .

User@Domain.com ist ein UPN - User Principal Name . Es ist das "bevorzugte", neuere Anmeldeformat. Es handelt sich um einen Anmeldenamen im Internetstil, der dem E-Mail-Namen des Benutzers entsprechen sollte. ( Ref. Bei MSDN )

Die Gründe für die Anmeldung mit UPNs sind meines Erachtens hauptsächlich kosmetischer Natur. Sie geben Ihren Benutzern in Ihrem Unternehmen hypothetisch einen einzigen Namen, mit dem sie sich an ihren Arbeitsstationen anmelden können, die auch als E-Mail-Adresse für das Unternehmen fungieren können.

Bearbeiten: Mehr Ausarbeitung - Ein weiterer Vorteil von UPNs ist, dass Sie mehr als einen gültigen UPN einrichten können, mit dem sich Ihre Benutzer anmelden können. Auch hier weitgehend kosmetisch. Wichtig ist jedoch, dass nicht alle Anwendungen mit UPNs kompatibel sind. Dies ist möglicherweise der Fall.

edit # 2: Ich mag Harry Johnstons Antwort bezüglich der zwei leicht unterschiedlichen Suchformate. Es macht Sinn und vor allem könnte es Ihr Problem erklären. :)

Das durchgestrichene Format ( DOMAIN\username) NetBIOSentspricht dem DNS-Namen der Domäne ( domain.mycompany.local).
Der NetBIOSName ist auf 15 Zeichen begrenzt und darf keine Punkte, Unterstriche usw. enthalten.

Diese Seite erklärt im Detail:
* Jeff Schertz, 2012-08-20, Grundlegendes zu Active Directory - Namensformate (Archiv hier .)

Wie von @ harry-johnston oben erwähnt, ist es wirklich nur das alte NT4- und Windows 2000-kompatible Format, aber es scheint als Lieblingsformat geblieben zu sein (es ist weniger zu tippen!). Möglicherweise wird das Legacy-Format von Windows unterstützt.

Es ist wahrscheinlich eine gute Idee, Benutzer an die Verwendung des UPN-Formats zu gewöhnen, da dadurch auch Probleme vermieden werden, bei denen sie Probleme haben, sich mit ihrem Benutzernamen bei einem PC anzumelden, und nicht bemerken, dass das Windows-Anmeldefeld standardmäßig den lokalen Wert verwendet PC-Domäne (z. B. pc01\fred) oder wenn sie eine Verbindung zu verschiedenen Remotedesktop-Hosts herstellen und nicht vergessen müssen, die Domäne sowie ihren Benutzernamen anzugeben, da der Remotedesktop-Client möglicherweise einen anderen zuvor verwendeten Domänennamen zwischenspeichert. Jedes Mal das UPN-Format beizubehalten, führt letztendlich nur zu weniger Supportanrufen.

Es gibt definitiv einen Unterschied zwischen diesen beiden, nur 99% der Benutzer werden kein Problem damit haben. Ich werde versuchen, den Unterschied zu erklären und wann ein solches Problem auftreten kann.

Wenn Sie beim Versuch, auf ein Dateifreigabeverfahren zuzugreifen, Domäne \ Benutzername verwenden, wird die Domäne zuerst von DNS aufgelöst und anschließend der Benutzername überprüft. Wenn Sie den Benutzernamen @ domain verwenden, wird direkt geprüft, ob sich der Benutzer in der ACL (Zugriffssteuerungsliste) befindet und Zugriff hat. Was macht es also aus, dass du denkst? Stellen Sie sich Folgendes vor:

1 Domänencontroller mit dem Namen DC01 und alle Clients erhalten DNS und befinden sich in dieser Domäne. Sie möchten migrieren und jemand hat einen anderen Server mit demselben Namen hinzugefügt. Der letztgenannte Server wird auch zu einem DC, sodass das lokale SAM nicht mehr verwendet wird und auch eine Dateifreigabe hat.

Wenn die Benutzer eine Verbindung zum Server herstellen, werden sie zur Eingabe von Anmeldeinformationen aufgefordert. Wenn Sie Domäne \ Benutzername verwenden, wird zuerst die aktuelle Domäne überprüft, anstatt die neue Domäne zu verwenden, und wir haben Konten aus der neuen Domäne auf der Dateifreigabe verwendet. Sobald es den aktuellen DC gefunden hat und den Benutzernamen überprüft, kann es nicht gefunden werden. (Selbst wenn der Benutzername und das Passwort gefunden werden und exakt gleich sind, funktioniert dies nicht, da der Benutzername nicht verwendet wird, um zu überprüfen, ob dies in der ACL zulässig ist, aber die SID verwendet wird. Die Seite wird am erstellt Benutzererstellungszeit in AD und Sie haben eine Änderung von 1 in einer Billion, dass es das gleiche ist, toll huh :-P).