none
Имя входа пользователя пред-Windows 2000 RRS feed

  • Вопрос

  • AD уровень леса и домена 2012R2.

    Создал учетную запись с samaccountname "KSVIntergrationtovCenter", при этом указано что имя входа пользователя пред-Windows 2000 "KSVIntergrationtovCen". Пытаюсь выполнить вход на windows 2012 R2 - получаю сообщение о неверном имени пользователя или пароле. При использовании имени входа "KSVIntergrationtovCen" - аутентификация успешна. В чем проблема? 2012R2, как мне кажется, это не пред-windows 2000.

    btw, эта учетная запись включена в группу, у которой есть определенные разрешения на VMware vCenter, так вот к vCenter с использованием KSVIntergrationtovCenter подключаюсь успешно.

    20 января 2017 г. 11:48

Ответы

  • Скорее всего используя KSVIntergrationtovCenter@Domain.com зайти сможете

    По умолчанию используется конструкция Domain\KSVIntergrationtovCen которая упирается в озвученное ограничение


    The opinion expressed by me is not an official position of Microsoft


    20 января 2017 г. 12:32
    Модератор
  • sAMAccountName, известное также как pre-Windows 2000 logon name — в схеме имеет ограничение в 256 символов. Однако для обеспечения обратной совместимости для него установлен лимит в 20 символов для пользователя и 16 для компьютера;

    Вот еще дополнительная информация


    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    • Изменено PuCtoy 20 января 2017 г. 12:40
    • Предложено в качестве ответа Dmitriy Razbornov 21 января 2017 г. 6:54
    • Помечено в качестве ответа Копылов Анатолий 23 января 2017 г. 5:26
    20 января 2017 г. 12:13
  • >Не понял, а для более новых ОС разве не тот же samaccountname используется?

    Он и используется, все верно. 99% организаций не используют UPN для входа. 

    >И чем тогда является просто "имя входа пользователя"? Частью userprincipalname?

    Да, разумеется. Измените любой символ в нём и посмотрите на изменившийся UPN.

    P.S. И да, если использовать userprincipalname, то войти получается. Всегда считал, что это userprincipalname является "deprecated" атрибутом. Используя пош при создании и модификации пользователей лишь раз или два использовал одновременно поля samaccountname и userprincipalname, а так всегда только samaccountname. Собственно, я никогда и не натыкался на это ограничение.

    А вот это очень опасное заблуждение. UPN, как раз атрибут незаменимый, ибо вам ничего не мешает добавить внутрь вашего utidisk.local домен @mail.ruв оснастке домены и трасты, (представим на минуту, что почтовый сервер огранизация использует внешний), и задать UPN для Васи равным его адресу почты на мейле.

    И Вася отныне сможет зайти (вот сейчас внимание) в любой домен в лесу (!), используя свой красивый и понятный UPN. vasya1986@mail.ru, скажем. И не важно, в каком он домене в лесу, UPN понятно и уникально его идентифицирует. Представьте радость пользователя с длинным фио, которое плохо передается латиницей. Как он будет входить в систему (вводить данные своей уз)?

    В правильной организации UPN равен электропочте пользователя, и это крайне удобно при миграциях, настройках профиля без ввода повторных учетных данных, и (!) без ввода домена. Представьте, что вы мигрируете пользователей в новый домен. Да десять раз на дню будут спрашивать- а что вводить в окошко аутентификации- старый домен OLDDOMAIN\vasya или новый?

    То, что не натыкались, это хорошо. Наткнетесь, вспомните мой пост. Вывод- использовать UPN всегда, это крайне удобно и полезно.

    23 января 2017 г. 5:52

Все ответы

  • sAMAccountName, известное также как pre-Windows 2000 logon name — в схеме имеет ограничение в 256 символов. Однако для обеспечения обратной совместимости для него установлен лимит в 20 символов для пользователя и 16 для компьютера;

    Вот еще дополнительная информация


    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    • Изменено PuCtoy 20 января 2017 г. 12:40
    • Предложено в качестве ответа Dmitriy Razbornov 21 января 2017 г. 6:54
    • Помечено в качестве ответа Копылов Анатолий 23 января 2017 г. 5:26
    20 января 2017 г. 12:13
  • Скорее всего используя KSVIntergrationtovCenter@Domain.com зайти сможете

    По умолчанию используется конструкция Domain\KSVIntergrationtovCen которая упирается в озвученное ограничение


    The opinion expressed by me is not an official position of Microsoft


    20 января 2017 г. 12:32
    Модератор
  • Спасибо за ответы.

    samaccountname = имя входа пользователя пред-windows2000, при этом здесь указано:

    The logon name used to support clients and servers running earlier versions of the operating system, such as Windows NT 4.0, Windows 95, Windows 98, and LAN Manager.
     

    Не понял, а для более новых ОС разве не тот же samaccountname используется?

    И чем тогда является просто "имя входа пользователя"? Частью userprincipalname?

    P.S. И да, если использовать userprincipalname, то войти получается. Всегда считал, что это userprincipalname является "deprecated" атрибутом. Используя пош при создании и модификации пользователей лишь раз или два использовал одновременно поля samaccountname и userprincipalname, а так всегда только samaccountname. Собственно, я никогда и не натыкался на это ограничение.


    23 января 2017 г. 5:25
  • >Не понял, а для более новых ОС разве не тот же samaccountname используется?

    Он и используется, все верно. 99% организаций не используют UPN для входа. 

    >И чем тогда является просто "имя входа пользователя"? Частью userprincipalname?

    Да, разумеется. Измените любой символ в нём и посмотрите на изменившийся UPN.

    P.S. И да, если использовать userprincipalname, то войти получается. Всегда считал, что это userprincipalname является "deprecated" атрибутом. Используя пош при создании и модификации пользователей лишь раз или два использовал одновременно поля samaccountname и userprincipalname, а так всегда только samaccountname. Собственно, я никогда и не натыкался на это ограничение.

    А вот это очень опасное заблуждение. UPN, как раз атрибут незаменимый, ибо вам ничего не мешает добавить внутрь вашего utidisk.local домен @mail.ruв оснастке домены и трасты, (представим на минуту, что почтовый сервер огранизация использует внешний), и задать UPN для Васи равным его адресу почты на мейле.

    И Вася отныне сможет зайти (вот сейчас внимание) в любой домен в лесу (!), используя свой красивый и понятный UPN. vasya1986@mail.ru, скажем. И не важно, в каком он домене в лесу, UPN понятно и уникально его идентифицирует. Представьте радость пользователя с длинным фио, которое плохо передается латиницей. Как он будет входить в систему (вводить данные своей уз)?

    В правильной организации UPN равен электропочте пользователя, и это крайне удобно при миграциях, настройках профиля без ввода повторных учетных данных, и (!) без ввода домена. Представьте, что вы мигрируете пользователей в новый домен. Да десять раз на дню будут спрашивать- а что вводить в окошко аутентификации- старый домен OLDDOMAIN\vasya или новый?

    То, что не натыкались, это хорошо. Наткнетесь, вспомните мой пост. Вывод- использовать UPN всегда, это крайне удобно и полезно.

    23 января 2017 г. 5:52
  • Спасибо за разъяснение. Едва ли я на практике с этим столкнусь, я не администратор служб каталогов и никогда не буду.

    Не понял по поводу:

    >ибо вам ничего не мешает добавить внутрь вашего utidisk.local домен @mail.ruв оснастке домены и трасты,

    >И Вася отныне сможет зайти (вот сейчас внимание) в любой домен в лесу (!), используя свой красивый и понятный UPN. 

    Что за лес получается, "." с двумя разными tld "local" и "ru" что ли? Терминология AD, где оперируют терминами "домен" вне контекста ns мне мало знакома.

    И по поводу удобства - разве удобно использовать длинную запись аля v.petrov@sub.domain.tld? На практике так и делают? Имею в виду удобство ввода с точки зрения пользователя.



    23 января 2017 г. 7:12
  • Давайте так. По поводу добавить внутрь вышло на грани фола, но имел я ввиду следующее:

    Открыв оснастку доверия, вы можете бобавить суффикс домена, и потом его выбирать при назначении пользователям, как одному, так и массово. Добавление соответственно такого суффикса домена ни на что не влияет.

    Далее. Не все знают, но для того, чтобы изменять UPN, ничего как на картинке выше добавлять и не нужно, достаточно поменять редактором атрибута (скриптом) нужный параметр.

    Это что касается первого вопроса.По второму и третьему- не важно какой у Вас лес, Вы скрываете это от пользователя. Вот у меня на скриншоте лес source.com, а выдал я UPN васе и сказал- заходи вот так. И заметьте себе, UPN может быть связанным с вашими ресурсами внутренними в компании (например, быть равным адрему почты), а может быть совершенно оторванным от этого. Как в примере с мейлом.

    Вам-то как раз не обязательно использовать v.petrov@sub.domain.tld. Можно, но не обязательно

    Как раз вход по samaccountname никак пользователя уникально не идентифицирует, ну, ок, вот пришел вася.пупкин ,а из какого он домена? Давайте покажем ему окошко аутентификации. И несчастный Вася, собирая волю в кулак, должен вспомнить и твердо ответить, в каком домене он живет. И зачем? Завтра он переедет в другой домен, к примеру. Или даже без миграции, просто облегчить жизнь и пользователю и администратору, перейдя на UPN- большое дело. 

    23 января 2017 г. 8:17
  • У меня лишь больше вопросов появляется, и они не имеют отношения к изначальному вопросу треда. Думаю, можно закрыть обсуждение.

    Спасибо за помощь.

    23 января 2017 г. 8:25
  • Это прекрасно, рецепт-то Вы давно знаете- открывайте новую ветку, ссылайтесь на эту и вываливайте вопросы.

    Всех благ.

    23 января 2017 г. 8:26

  • И по поводу удобства - разве удобно использовать длинную запись аля v.petrov@sub.domain.tld? На практике так и делают? Имею в виду удобство ввода с точки зрения пользователя.

    На практике только упоротые параноики отключают имя входа последнего последнего пользователя и как обычно пользователю пофигу что забыть(учитывая что на практике им в среднем его нужно вводить пару раз в год) - запись формата домен\юзернейм или имя_вашей@почты... просто вспомнить(да и подсказать по телефону) что в качестве имени входа используется адрес почты несколько проще. 
    23 января 2017 г. 8:38