AD用戶屬性：UserPrincipalName與SamAccountName的差異

在咱們平常工做中或者平常針對AD進行自動化開發的過程當中，咱們都會對UserPrincipalName與SamAccountName產生疑惑，畢竟不少時候你們都把這兩個屬性值理解爲同一個概念，至於爲何老是說不清楚，今天就簡單歸總下該內容。

UserPrincipalName：指定要由客戶端進行身份驗證的服務的用戶主體名稱 (UPN)。一個用戶賬戶名（有時稱爲「用戶登陸名」）和一個域名（標識用戶賬戶所在的域），這是登陸到Windows域的標準用法。格式是： xiaowen@azureyun.com （類電子郵件地址）。
SamAccountName：在AD屬性AMAccountName中，存儲賬戶登陸名或用戶對象,其實是命名符號「Domain\LogonName 」中使用的舊NetBIOS表單，該屬性是域用戶對象的必需屬性；而SAMAccountName應始終與UPN主體名稱保持一致，即SAMAccountName必須等於屬性「UserPrincipalName」 的前綴部分。

---

UserPrincipalName：

• 用戶登陸名格式：xiaowen@azureyun.com

• 是基於Internet標準RFC 822的用戶Internet樣式登陸名;

• 在目錄林中的全部安全主體對象中應該是惟一的;

• UPN是可選的，在建立用戶賬戶時可指定也可不單獨指定；

SamAccountName：

• 與早期版本的Windows（pre-windows 2000）一塊兒使用;

• 用戶登陸名格式：azureyun\xiaowen

• 不能超過20個字符；

• 在域中的全部安全主體對象中是惟一的；

舉例：

域名：azureyun.com

SamAccountName：xiaowen

NetBIOS登陸名：azureyun\xiaowen

UserPrincipalName：xiaowen@azureyun.com

例外狀況多是用戶將使用真實電子郵件地址登陸系統的環境。這裏SAMAccountName能夠與userPrincipalName不一樣：

     域名：azureyun（NetBIOS）azureyun.com（DNS）
     sAMAccountName：xiaowen
     NetBIOS登陸名：azureyun\xiaowen
     userPrincialName：xiao.wen@azureyun.local

Windows登陸名具備數據類型unicode字符串 - 歷來沒有系統給出一些限制。名稱不能超過20個字符，而且不容許使用如下字符：\ / [] :; | =，+ *？<> @「

有關屬性內容請參考官鏈。

歡迎關注微信公衆號：小溫研習社