域认证中userPrincipalName 与SamAccountName 差别和使用场景

最新推荐文章于 2024-02-05 19:51:36 发布
最新推荐文章于 2024-02-05 19:51:36 发布
阅读量7.8k 收藏 8
点赞数 2
分类专栏: 450-操作系统及相关 文章标签: LDAP SamAccountName 登录 UPN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oscar999/article/details/121216835
版权

UserPrincipalName 和 SamAccountName 的 定义和比较

  • UserPrincipalName: 简称 UPN,是客户端进行身份验证的服务的用户主体名称。 格式一般是: 一个用户账号+一个域名, 比如: oscar@mydomain.com (类似电子邮件地址)。 该格式是登录Windows 域的标准用法。
  • SamAccountName: 用于存储账户登录名或用户符号,实际上是命名符号Domain\LogonName。该属性是域用户对象的必需属性。 一般状况,SAMAccountName 应与UPN名称保持一致。即SAMAccountName 等于 UserPrincipalName 的前缀部分。
UserPrincipalNameSamAccountName
登录格式oscar@mydomain.commydomain\oscar
是否必填可选必须
是否唯一唯一唯一
标准基于Internet标准RFC 822的用户Internet样式登录名不能超过20个字符
用于支持以前版本的 Windows (Pre-Windows 2000) 的客户端和服务器

LDAP用户认证方式

LDAP登录的常见的方式有:

  • SAMAccountName  + 密码
  • UserPrincipalName  + 密码

理想状况下,SAMAccountName 应与UPN名称保持一致。即SAMAccountName 等于 UserPrincipalName 的前缀部分。所以其实这两种方式是可以转换的。但是在实际状况中往往会出现不一致的场景。比如以下场景: SAMAccountName 是已知的,但是其并不是按照上面的规则, 也就是无法正确推导出UserPrincipalName  , 该场景的解决思路是:

  1. 使用公用账号查询某个SAMAccountName账号对应的UserPrincipalName 。
  2. 使用UserPrincipalName + 密码进行登录。

AD 属性参考

账号属性
属性名称显示名称说明
userPrincipalNameUserLogon Name用户登录名
sAMAccountnameUser logon name用户登录名,Windows 2000之前的版本
logonHoursLogon Hours登录时间
logonWorkstationLog On To登录到
userAccountControl Account is locked out用户账号控制
pwdLastSetUser must change password at next logon
userAccountControlOther Account Options
accountExpiresAccount Expires账户过期
地址属性
属性名称显示名称说明
streetAddressStreet街道
postOfficeBoxP.O.Box邮政信箱
lCity城市
stState/Province
postalCodeZip/Postal Code邮政编码
c, co, and countryCodeCountry/Region
国家/地区
成员属性
属性名称显示名称说明
memberOfMember of隶属于
primaryGroupIDSet Primary Group
组织属性
属性名称显示名称说明
titleTitle职位
departmentDepartment部门
companyCompany公司
managerManager:Name
directReportsDirect Reports

外型属性

属性名称显示名称说明
profilePathProfile Path配置文件路径
scriptPathLogon Script登录脚本
homeDirectoryHome Folder: Local Path本地路径
homeDriveHome Folder: Connect连接
homeDirectoryHome Folder: To
电话属性
属性名称显示名称说明
telephoneNumberHome
otherTelephoneHome: Other
pagerPager寻呼机
pagerOtherPager: Other
mobileMobile移动电话
otherMobileMobile: Other
FaxfacsimileTelephoneNumber
Fax: OtherotherFacsimileTelephoneNumber
ipPhoneIP phoneIP 电话
otherIpPhoneIP phone: Other
infoNotes注释
oscar999
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
在java程序,使用sAMAccountName作为登录名通过LDAP目录库验证
Jinn Guo - Oracle ERP Consulting
03-06 3144
近来,要做一套对项目开发、跟踪、管理、多服务器同步备份的系统集成。主要结合svn、apache、tomcat、bugzilla、sendmail、openSSL、LDAP这些开源优秀软件在ubuntu下实现。其涉及到JAVA EE的WEB开发,EMAIL、NDS应用模块的配置和结合,数据加密,项目管理过程设计,SVN数据的备份与恢复等等。而我和几个teammates主要负责开发一个web应用程序
AD用户属性:UserPrincipalNameSamAccountName的差别
awmqc66006的博客
02-22 1579
在我们日常工作或者日常针对AD进行自动化开发的过程,我们都会对UserPrincipalNameSamAccountName产生疑惑,毕竟很多时候大家都把这两个属性值理解为同一个概念,至于为什么总是说不清楚,今天就简单归总下该内容。 UserPrincipalName:指定要由客户端进行身份验证的服务的用户主体名称 (UPN)。一个用户帐户名(有时称为“用户登录名”)和一个名(...
解读用户属性值SamAccountName
weixin_42494218的博客
02-05 757
解读用户属性值SamAccountName
解读用户属性值UserPrincipalName
最新发布
weixin_42494218的博客
02-05 670
解读用户属性值UserPrincipalName
Golang连接ldap获取sAMAccountName
RSQ博客
07-27 1772
什么是sAMAccountName,账号在创建的时候会有全名(fullName)和sAMAccountName,前者更像是此账号的备注,真正使用登录账号其实是sAMAccountName,那么怎么用go-ldap获取sAMAccountName,其实就是通过设置NewSearchRequest的Filter 为 objectCategory=Person,而后Attributes属性获取切片sAMAccountName字段即可,代码如下: GetsAMAccountName.go package m
AD用户和组属性说明
weixin_37540600的博客
02-21 960
AD用户CN:用户的全名,可以重命名。 sAMAccountName:用户登录名,也称为预 Windows 2000 登录名,必须是唯一的。 userPrincipalName:用户的用户主体名称(UPN),也称为用户登录名或电子邮件地址。UPN 由用户名和 Internet 名组成,例如 user@contoso.co...
ldap验证用户名密码是否正确【亲测有效】
lh155136的博客
09-08 7042
此文档通过sAMAccountName来验证(一般登录的username其实是sAMAccountName) 1 ldap基础知识可通过以下文档来了解 https://www.cnblogs.com/wilburxu/p/9174353.html 2 配置pom文件 maven官网 https://mvnrepository.com/ <!-- https://mvnrepository.com/artifact/org.springframework.ldap/spring-ldap-core --
服务器通过命令批量新建用户
01-30
在IT领,尤其是在企业网络管理服务器和控制器是关键组件,它们负责管理和验证网络的用户身份。批量新建用户是一项常见的任务,尤其在大型组织,手动创建单个用户账户会非常耗时。这里我们将深入探讨...
vbs下用一个小方法实现批量添加用户
09-06
在生产环境,最好使用自动化工具,如PowerShell的`Add-ADUser` cmdlet,这些工具通常提供更多的控制选项和更好的安全性。 总之,通过VBScript实现的批量添加用户是一种实用的技巧,能够有效地简化管理任务,...
修改ad密码及新增账号demo.zip
11-07
在IT领,特别是企业网络管理,Active Directory(AD)是一种广泛使用的目录服务,由微软开发,用于管理和组织网络资源。AD则是AD服务的核心组成部分,它提供了集式的身份验证和授权机制。在这个"修改AD...
java ad操作
08-19
总结起来,Java通过JNDI和相关的库提供了强大的能力来操作AD,包括连接、查询、读写属性、用户认证、对象的创建与删除等。在实际开发,应确保遵循最佳实践,确保代码的健壮性和安全性。理解并熟练掌握这些概念和...
Remove-EXOMail:通过Exchange Online和安全与合规使用PowerShell使用电子邮件删除脚本
03-30
"Remove-EXOMail"是一个利用PowerShell和安全与合规心功能来实现这一目标的脚本。这个脚本可以帮助管理员高效地定位并删除特定的电子邮件,而无需手动操作。 PowerShell是微软提供的一个命令行工具,它为管理员...
java连接ldap同步人员信息
sunny_IT1的博客
08-03 560
java同步ldap组织人员信息 //服务器地址 private static String PROVIDER_URL = "ldap://192.168.3.126:389/"; //名 private static String BASEDN = " "; //用户名(格式:账户名+@+名) private static String PRINCIPAL = " "; //密码 private static String CREDENTIALS = ""; /** * 获取LDAP连接 */ p
LDAP 初探
huihongxiao的专栏
11-17 2133
本文的LDAP基于微软的活动目录(Active Directory)。 LDAP可以用来作为一个用户管理工具。由于是第三方用户管理工具,因此可以跨应用管理同一个用户组。通过Group和Organizational Unit管理用户的权限和分组。 不同于一般的用户管理系统,采用用户名/密码的认证方式。LDAP采用的是Object/密码的方式。用户的所有属性构成了Object。那么在采用LDAP
.net 用户登录
luanluan8888的博客
05-07 1206
使用C#访问 Active Directory服务,需引用System.DirectoryServices命名空间,该命名空间包含两个组件类,DirectoryEntry和 DirectorySearcher。 DirectoryEntry类可封装 ActiveDirectory服务层次结构的节点或对象,使用此类绑定到对象、读取属性和更新特性; 使用DirectorySearcher类可对 ...
LDAP属性介绍
Marshall_Ma的博客
03-09 3448
LDAP集成之属性介绍
Security——Spring LDAP
十年梦归尘的专栏
12-08 521
Spring LDAP
Windows下使用taskkill 命令批量结束进程
热门推荐
oscar999的专栏
11-06 9万+
在windows 下,最常使用的结束进程的方法就是打开任务管理器,找到相应的进程, 选择后点击 “结束进程” 按钮。 但是,如果要结束的进程量很大的话, 比如结束 100 个打开的文本编辑框的话, 这种方法就不适用了。解决方法就是使用taskkill 命令。
写一个迁移AD的dos 脚本
03-31
抱歉,我是一名AI语言模型,无法为您提供DOS脚本。但是,下面是一个可能有用的PowerShell脚本,可以帮助您迁移AD: ```PowerShell # Set source and target domain information $sourceDomain = "sourcedomain.com" $targetDomain = "targetdomain.com" $sourceDC = "sourcedc.sourcedomain.com" $targetDC = "targetdc.targetdomain.com" # Set credentials for both domains $sourceCreds = Get-Credential -Message "Enter the credentials for the source domain" $targetCreds = Get-Credential -Message "Enter the credentials for the target domain" # Connect to the source domain $sourceSession = New-PSSession -ComputerName $sourceDC -Credential $sourceCreds Import-PSSession $sourceSession -CommandName Get-ADUser, Get-ADGroup, Get-ADObject, Get-ADDomain, Get-ADDomainController, Get-ADOrganizationalUnit, Get-ADGroupMember, Get-ADGroupProperty, Get-ADUserProperty, Get-ADComputerProperty -AllowClobber # Connect to the target domain $targetSession = New-PSSession -ComputerName $targetDC -Credential $targetCreds Import-PSSession $targetSession -CommandName New-ADUser, New-ADGroup, New-ADObject, New-ADOrganizationalUnit, Add-ADGroupMember, Set-ADUser, Set-ADGroup, Set-ADObject, Move-ADObject, Remove-ADObject -AllowClobber # Get all users and groups from the source domain $sourceUsers = Get-ADUser -Filter * -Server $sourceDC $sourceGroups = Get-ADGroup -Filter * -Server $sourceDC # Loop through each user and create a new user in the target domain foreach ($user in $sourceUsers) { $newUser = New-ADUser -Name $user.Name -SamAccountName $user.SamAccountName -UserPrincipalName $user.UserPrincipalName -AccountPassword $user.Password -Enabled $user.Enabled -Server $targetDC Set-ADUser $newUser -DisplayName $user.DisplayName -GivenName $user.GivenName -Surname $user.Surname -EmailAddress $user.EmailAddress Move-ADObject $newUser -TargetPath "OU=Users,DC=targetdomain,DC=com" } # Loop through each group and create a new group in the target domain foreach ($group in $sourceGroups) { $newGroup = New-ADGroup -Name $group.Name -SamAccountName $group.SamAccountName -GroupCategory $group.GroupCategory -GroupScope $group.GroupScope -Server $targetDC Set-ADGroup $newGroup -DisplayName $group.DisplayName -Description $group.Description Move-ADObject $newGroup -TargetPath "OU=Groups,DC=targetdomain,DC=com" $groupMembers = Get-ADGroupMember -Identity $group.Name -Server $sourceDC foreach ($member in $groupMembers) { Add-ADGroupMember -Identity $newGroup.Name -Members $member.SamAccountName -Server $targetDC } } # Disconnect from both domains Remove-PSSession $sourceSession Remove-PSSession $targetSession ``` 请注意,此脚本仅用于示范用途。在实际使用,请仔细检查和测试脚本,以确保它符合您的需求和环境。此外,使用此脚本时,请确保您具有足够的权限来执行所需的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oscar999

送以玫瑰,手留余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值