User principal name что это
Управление UPN суффиксами (UserPrincipalName) в Active Directory
В этой статье мы рассмотрим, что такое UPN (UserPrincipalName) суффиксы в Active Directory, как добавить дополнительные суффиксы в лесу AD, и назначить/изменить UPN суффикс пользователям Active Directory через графическую консоль и PowerShell.
По умолчанию в Active Directory в качестве UPN суффикса используется DNS имя вашего домена AD. Например, UserPrincipalName пользователя в домене winitpro.local выглядит так: username@winitpro.local.
Если в вашей внутренней AD DS используется немаршрутизируемое имя домена (например domain.local), вы не сможете верифицировать такой домен в Azure (Microsoft 365). Чтобы настроить синхронизацию с Azure вам придется переименовать домен AD (не всегда возможно), или (гораздо проще) добавить дополнительные (альтернативные) UPN суффиксы в своем AD.
Добавляем дополнительный UPN суффикс в Active Directory
В Active Directory вы можете добавить дополнительные (альтернативные) UPN суффиксы с помощью графической консолей Active Directory Domains and Trusts или через PowerShell.
Откройте консоль PowerShell и выполните команду Get-ADForest из модуля AD PowerShell. Следующая команда выведет все назначенные UPN суффиксы в лесу:
Get-ADForest | Format-List UPNSuffixes
Если список пуст, значит у вас используется суффикс UPN по умолчанию, соответствующий имени DNS домена.
Чтобы добавить дополнительный UPN суффикс (например, winitpro.ru), выполните команду:
Проверьте, что суффикс появился в UPNSuffixes:
Get-ADForest | Format-List UPNSuffixes
Как изменить UserPrincipalName у пользователей Active Directory?
Текущее значение UserPrincipalName пользователя можно вывести с помощью командлета Get-ADUser:
Dы можете задать новый UPN суффикс для своих пользователей. Самый простой вариант – изменить UserPrincipalName в свойствах пользователя в консоли ADUC ( dsa.msc ).
Как вы видите, в выпадающем списке доступны все UPN суффиксы домена. Выберите нужный и нажмите OK.
Обратите внимание, что на этой форме UserPrincipalName как бы состоит из двух частей – имени пользователя и UPN суффикса. Но по факту значение UserPrincipalName хранится в одном атрибуте AD.
Когда вам нужно изменить UPN сразу нескольким пользователям, можно выбрать
несколько пользователей в консоли ADUC и нажать Properties. Перейдите на вкладку Account и вы можете сменить UPN суффикс сразу для всех пользователей (если нужно собрать в плоский список пользователей из разных OU, воспользуйтесь сохраненными запросами в консоли ADUC).
На гораздо проще для смены UPN суффикса использовать PowerShell.
Чтобы изменить UPN суффикс одному пользователю, используйте командлет Set-ADUser с параметром UserPrincipalName
Следующий PowerShell скрипт позволит найти в указанной OU всех пользователей с определённым UPN суффиксом и изменить UserPrincipalName на новый.
Следующая команд PowerShell позволит найти пользователей, у которых userPrincipalName не задан:
Если вы создаёте нового пользователя, можете выбрать нужный UPN суффикс вместо DNS имени вашего домена.
Если вы создаёте пользователей с помощью PowerShell командлета New-ADUser, укажите новый UPN суффикс с помощью параметра UserPrincipalName:
Сегодня вопрос с UPN суффиксами чаще всего возникает, когда вы планируете настроить синхронизацию локальной (on-premises) Active Directory с Azure AD, Microsoft 365, Intune. В Azure именно userPrincipalName является уникальным идентификатором пользователя.
Исторически так сложилось, что многие компании для своих внутренних доменов AD использует немаршрутизируемые или несуществующие DNS имена (вида *.loc, *.local).
У каждого пользователя AD, который будет синхронизироваться в Azure должен быть назначен уникальный и маршрутизируемый в интернете userPrincipalName, который соответствует доменному имени вашего тенанта Azure (Microsoft 365).
Указание атрибута UserPrincipalName в Azure AD
В этой статье описывается, как указать атрибут UserPrincipalName в Azure Active Directory (Azure AD). Значение атрибута UserPrincipalName — это имя пользователя Azure AD для учетных записей пользователей.
Терминология имени участника-пользователя
В этом руководстве используется следующая терминология:
Что такое UserPrincipalName?
UserPrincipalName — это атрибут, который является именем пользователя для входа через Интернет на основе интернет-стандарта RFC 822.
Формат имени участника-пользователя
Имя участника-пользователя состоит из префикса (имя участника-пользователя) и суффикса (имя субъекта-пользователя). Префикс объединяется с суффиксом с помощью символа «@». Например, «someone@example.com». Имя участника-пользователя должно быть уникальным среди всех объектов субъекта безопасности в пределах леса каталога.
Имя участника-пользователя в Azure AD
Имя участника-пользователя применяется в Azure AD, чтобы пользователи могли войти. Имя участника-пользователя, доступное для применения, зависит от того, является ли домен проверенным. Если домен проверен, тогда пользователь с этим суффиксом получит право на вход в Azure AD.
Атрибуты синхронизируются службой Azure AD Connect. Во время установки можно просматривать проверенные и непроверенные домены.
Альтернативное имя пользователя
В некоторых средах пользователи могут знать только свой адрес электронной почты, но не имя участника-пользователя. Использование адреса электронной почты может объясняться требованиями корпоративной политики или зависимостью в локальном бизнес-приложении.
Альтернативное имя пользователя позволяет настроить процедуру входа таким образом, чтобы пользователи могли использовать для входа атрибут, отличный от имени участника-пользователя, например адрес электронной почты.
Чтобы включить альтернативное имя пользователя в Azure AD, не нужно дополнительно ничего настраивать, если включен Azure AD Connect. Альтернативное имя пользователя можно настроить непосредственно из мастера. Сведения о настройке входа в Azure AD для пользователей указываются в разделе «Синхронизация». В раскрывающемся списке Имя участника-пользователя выберите атрибут, который будет использоваться как альтернативный идентификатор входа.
Дополнительные сведения см. в статье Configuring Alternate Login ID (Настройка альтернативного имени пользователя) и разделе Конфигурация входа в Azure AD.
Непроверенный суффикс имени участника-пользователя
Проверенный суффикс имени участника-пользователя
Если атрибут UserPrincipalName или суффикс альтернативного имени пользователя для локальной среды подтвержден клиентом Azure AD, тогда значение атрибута UserPrincipalName Azure AD будет таким же, как и значение локального атрибута UserPrincipalName или альтернативного имени пользователя.
Расчет значения атрибута MailNickName Azure AD
Так как в качестве значения атрибута UserPrincipalName Azure AD можно задать MOERA, важно понять, как вычисляется значение атрибута MailNickName Azure AD, которое является префиксом MOERA.
Когда объект пользователя синхронизируется с клиентом Azure AD в первый раз, Azure AD проверяет следующие значения в определенном порядке и задает первое существующее значение для атрибута MailNickName:
Когда обновления пользовательского объекта синхронизируются с клиентом Azure AD, значение атрибута MailNickName обновляется, только если в локальной среде обновляется значение атрибута mailNickName.
Azure AD повторно вычислит значение атрибута UserPrincipalName, только если обновление значения атрибута UserPrincipalName или альтернативного имени входа в локальной среде синхронизируется с клиентом Azure AD.
Каждый раз, когда Azure AD повторно вычисляет атрибут UserPrincipalName, также повторно вычисляется и значение MOERA.
Сценарии имени участника-пользователя
Ниже приведены примеры сценариев, по которым вычисляется имя участника-пользователя.
Сценарий 1. Непроверенный суффикс имени участника-пользователя. Начальная синхронизация
Объект пользователя в локальной среде:
Синхронизация объекта пользователя с клиентом Azure AD в первый раз
Объект пользователя клиента Azure AD:
Сценарий 2. Непроверенный суффикс имени участника-пользователя. Настройка атрибута mailNickName в локальной среде
Объект пользователя в локальной среде:
Синхронизация обновления атрибута mailNickName в локальной среде и клиента Azure AD
Объект пользователя клиента Azure AD:
Сценарий 3. Непроверенный суффикс имени участника-пользователя. Обновление атрибута userPrincipalName в локальной среде
Объект пользователя в локальной среде:
Синхронизация обновления атрибута userPrincipalName в локальной среде и клиента Azure AD
Объект пользователя клиента Azure AD:
Сценарий 4. Непроверенный суффикс имени участника-пользователя. Обновление локального атрибута mail и основного SMTP-адреса
Объект пользователя в локальной среде:
Синхронизация обновления атрибута mail в локальной среде и основного адреса SMTP с клиентом Azure AD
Объект пользователя клиента Azure AD:
Сценарий 5. Проверенный суффикс имени участника-пользователя. Обновление суффикса атрибута userPrincipalName в локальной среде
Объект пользователя в локальной среде:
Синхронизация обновления атрибута userPrincipalName в локальной среде и клиента Azure AD
Атрибуты именования пользователей
Атрибуты именования пользователей указывают объекты пользователя, такие как имена входа и идентификаторы, используемые в целях безопасности. Атрибуты CN, Name и distinguishedName являются примерами атрибутов именования пользователей. Объект пользователя является объектом субъекта безопасности, поэтому он также включает следующие атрибуты именования пользователя:
Просматривать эти атрибуты и управлять ими можно с помощью оснастки MMC «Active Directory пользователи и компьютеры», доступной в средства удаленного администрирования сервера (RSAT).
userPrincipalName
Атрибут userPrincipalName — это имя входа для пользователя. атрибут состоит из имени участника-пользователя (UPN), которое является наиболее распространенным именем для входа Windows пользователей. Пользователи обычно используют свое имя участника-пользователя для входа в домен. Этот атрибут является индексированной строкой с одним значением.
UPN — это имя входа в стиле Интернета для пользователя, основанное на стандарте RFC 822. Имя участника-пользователя короче различающегося имени, и его легче запомнить. По соглашению оно должно сопоставляться с адресом электронной почты пользователя. Точка UPN заключается в объединении пространств имен электронной почты и входа в систему, чтобы пользователю было достаточно запомнить только одно имя.
Формат имени участника-пользователя
Имя участника-пользователя состоит из префикса (имя участника-пользователя) и суффикса (имя субъекта-пользователя). Префикс объединяется с суффиксом с помощью символа «@». Например, «someone@ example.com». Имя участника-пользователя должно быть уникальным среди всех объектов субъекта безопасности в пределах леса каталога. Это означает, что префикс имени участника-пользователя можно использовать повторно, не используя тот же суффикс.
Суффикс имени участника-пользователя имеет следующие ограничения.
Управление UPN
Имя участника-пользователя может быть назначено, но не является обязательным при создании учетной записи пользователя. При создании имени участника-пользователя изменения в других атрибутах объекта User, таких как переименование или перемещение пользователя, не затрагиваются. Это позволяет пользователю при реструктуризации каталога иметь то же имя входа. Однако администратор может изменить имя участника-пользователя. При создании нового объекта пользователя следует проверить локальный домен и глобальный каталог на наличие предложенного имени, чтобы убедиться, что оно еще не существует.
Когда пользователь использует имя участника-пользователя для входа в домен, имя участника-пользователя проверяется с помощью поиска в локальном домене, а затем в глобальном каталоге. Если имя участника-пользователя не найдено в глобальном каталоге, попытка входа завершится неудачей.
objectGUID
Поскольку различающееся имя объекта изменяется при переименовании или перемещении объекта, различающееся имя не является надежным идентификатором объекта. В домен Active Directory Services атрибут objectGUID объекта никогда не изменяется, даже если объект переименован или перемещен. Форму строки objectGUID можно получить с помощью метода свойства GUID в методах Свойства iAds.
sAMAccountName
атрибут sAMAccountName — это имя входа, используемое для поддержки клиентов и серверов предыдущей версии Windows, таких как Windows NT 4,0, Windows 95, Windows 98 и LAN Manager. Имя входа должно иметь длину не более 20 символов и быть уникальным для всех объектов субъекта безопасности в домене.
objectSid
Атрибут objectSid является идентификатором безопасности (SID) пользователя. идентификатор безопасности используется системой для обнаружения пользователя и их членства в группах во время взаимодействия с Windows безопасностью. Атрибут является однозначным. Идентификатор безопасности — это уникальное двоичное значение, используемое для распознавания пользователя в качестве субъекта безопасности.
Идентификатор безопасности задается системой при создании пользователя. каждый пользователь имеет уникальный идентификатор безопасности, выданный доменом Windows и хранящийся в атрибуте objectSid объекта пользователя в каталоге. Каждый раз, когда пользователь входит в систему, система получает SID пользователя из каталога и помещает его в маркер доступа пользователя. Идентификатор безопасности пользователя также используется для получения идентификаторов безопасности для групп, членом которых является пользователь, и помещает их в маркер доступа пользователя. Если идентификатор безопасности используется в качестве уникального идентификатора пользователя или группы, он не может быть использован для идентификации другого пользователя или группы.
Лесами
User principal name что это
Этот браузер больше не поддерживается.
Выполните обновление до Microsoft Edge, чтобы воспользоваться новейшими функциями, обновлениями для системы безопасности и технической поддержкой.
Задает имя участника-пользователя (UPN) для службы, подлинность которой должна быть проверена клиентом.
Дополнительные сведения о настройке имени участника-пользователя см. в статье удостоверение службы и проверка подлинности.
Синтаксис
Атрибуты и элементы
В следующих разделах описываются атрибуты, дочерние и родительские элементы.
Атрибуты
| Атрибут | Описание |
|---|---|
| value | Имя учетной записи пользователя (которая иногда называется именем входа пользователя) и имя домена, которое определяет домен, в котором располагается учетная запись пользователя. Это стандартный способ входа в домен Windows. Формат: someone@example.com (как для адреса электронной почты). |
Дочерние элементы
Родительские элементы
| Элемент | Описание |
|---|---|
| Задает удостоверение службы, подлинность которой должна быть проверена клиентом. |
Комментарии
клиент secure Windows Communication Foundation (WCF), который подключается к конечной точке с этим удостоверением, использует имя участника-пользователя при выполнении проверки подлинности SSPI с конечной точкой.
Пример
Приводимый ниже код конфигурации задает имя участника-пользователя (UPN) для службы, подлинность которой должна быть проверена клиентом.
Управление пользователями и данными входа
Переименование учетных записей
Вы можете переименовать пользовательскую учетную запись, выбрав ее в списке и нажав клавишу F2 (или щелкнув правой кнопкой мыши на этой записи и выбрав в контекстном меню пункт Rename). Эта учетная запись будет выделена, поэтому вы можете ввести новое имя.
После ввода нового имени нажмите клавишу ENTER, чтобы открыть диалоговое окно Rename User (Переименование пользователя), где вы можете внести другие изменения в запись этого пользователя (например, можно изменить имя входа).
Многие администраторы переименовывают учетную запись Administrator, что является хорошей мерой безопасности. Хотя опытные талантливые хакеры, возможно, могут справиться с этим «ухищрением», оно очень полезно для защиты от менее подготовленных злоумышленников, включая людей из вашей собственной пользовательской группы.
Чтобы еще больше повысить уровень защиты, после переименования этой учетной записи создайте другую учетную запись с именем Administrator. Сделайте ее членом группы Guests и отключите ее (см. ниже).
Чтобы запретить учетной записи вход в домен, вы можете отключить ее, что полезно также для шаблонов учетных записей, которые вы создаете только в целях копирования при создании нового пользователя. Но вы можете также отключить учетную запись, если считаете, что она была каким-либо образом компрометирована. После устранения проблемы снова включите (активизируйте) эту учетную запись для выполнения входа.
Чтобы отключить или включить учетную запись, щелкните правой кнопкой на этой учетной записи в правой панели оснастки Active Directory Users and Computers и выберите пункт Disable Account (Отключить учетную запись). Рядом со строкой этой учетной записи появится красный знак X. Чтобы включить учетную запись, щелкните правой кнопкой на этой учетной записи и выберите пункт Enable Account (Включить учетную запись).
Управление основными именами пользователей (UPN)
Чтобы создать суффикс UPN, выполните следующие шаги.
Новый суффикс UPN появится в раскрывающемся списке UPN, когда вы будете создавать нового пользователя, а также во вкладке Accounts (Учетные записи) диалогового окна Properties для существующего пользователя (что позволяет вам редактировать UPN).
Управление локальными пользовательскими учетными записями
Администрирование локальных пользовательских учетных записей выполняется из оснастки Computer Management (Управление компьютером), для открытия которой нужно щелкнуть правой кнопкой на My Computer (Мой компьютер ) и выбрать в контекстном меню пункт Manage (Управление). В дереве консоли раскройте объект Local Users and Groups (Локальные пользователи и группы) и выберите Users, чтобы вывести в правой панели локальные пользовательские учетные записи.
Только на рядовых серверах имеются локальные пользователи; вы не можете управлять локальными пользователями на компьютере Windows Server 2003, который действует как контроллер домена. И действительно, объект Local Users and Groups не появляется в оснастке Computer Management на контроллере домена.
Создание локальных пользовательских учетных записей
Чтобы создать новую локальную учетную запись, щелкните правой кнопкой на объекте Users в дереве консоли и выберите пункт New User (Создать пользователя). В диалоговом окне New User (рис. 12.6) выберите имя входа этого пользователя, полное имя, необязательное описание и пароль.
Если вы хотите изменить опции для пароля, то должны сначала сбросить флажок User must change password at next logon (Пользователь должен изменить пароль при следующем входе). После этого будут доступны и другие опции пароля. Для завершения щелкните на кнопке Create (Создать). Затем создайте другого пользователя или щелкните на кнопке Close, если вы закончили создание локальных пользователей.