active-directory – 为什么用户可以通过多个UPN登录？

我已将公司的所有用户UPN后缀从us.mycompany.local更改为mycompany.com,以便使用声明感知应用程序.在更改之前的测试中,我发现即使我更改了UPN后缀,用户也可以使用旧后缀成功进行身份验证.我不明白为什么这仍然有效. Ryan和Joe的上述评论都是针对目标的.听起来您的用户使用其隐式UPN登录.您的域名是FQDN us.mycompany.local吗？

在Active Directory中,每个用户都有两个UPN：

>显式UPN(eUPN)：这是用户对象的userPrincipalName属性的值.无论您在林中配置了任何备用UPN后缀,都可以将其更改为任何值.
>隐式UPN(iUPN)：这是通过将用户对象的samAccountName属性的值与域的FQDN的值连接而构造的. FQDN存储为存储在LDAP的域的crossRef对象的dnsRoot属性的值：// CN = DOMAIN_NETBIOS_NAME,CN = Partitions,CN = Configuration,DC = DOMAIN)

DS MVP的Jorge de Almeida Pinto有一系列更详细的帖子：

> https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-1
> https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-2
> https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-3

编辑1：

值得注意的是,如果发生冲突,eUPN会“赢”.例如,考虑以下(虽然荒谬)场景：

>域名：example.com
> User1的samAccountName：user1
> User2的userPrincipalName(eUPN)：user1@example.com

如果您尝试使用用户名user1@example.com登录,则您将以User2身份登录.但是,如果您将User2的userPrincipalName更改为其他任何名称,您将以User1身份登录.

编辑2：

更多信息每MS：MSKB929272: Interactive logon styles and Key Distribution Center account lookup in Windows Server 2003

（编辑：ASP站长网）