Benutzerkonten

In Active Directory besitzt jedes Benutzerkonto einen Benutzeranmeldenamen, sowie ein Benutzerprinzipalnamen-Suffix. Beim Erstellen des Benutzerkontos gibt der Administrator den Benutzeranmeldenamen ein und wählt das Benutzerprinzipalnamen-Suffix aus. Active Directory schlägt einen Benutzeranmeldenamen vor, bestehend aus den ersten 20 Byte des Benutzeranmeldenamens. Der Benutzeranmeldename kann jederzeit durch die Administratoren geändert werden.

In Active Directory verfügt jedes Benutzerkonto über einen Benutzerprinzipalnamen (UPN) (muss einmalig im Forest sein), der auf IETF RFC 822, einem Standard für das Format von ARPA-Internettextnachrichten, basiert. Der Benutzerprinzipalname besteht aus dem Benutzeranmeldenamen und dem Benutzerprinzipalnamen-Suffix, getrennt durch das @-Zeichen.

Hinweis:

Fügen Sie das @-Zeichen nicht zum Benutzeranmeldenamen oder zum Benutzerprinzipalnamen-Suffix hinzu. Active Directory fügt dieses Zeichen beim Erstellen des Benutzerprinzipalnamens automatisch hinzu. Ein Benutzerprinzipalname mit mehr als einem @-Zeichen ist ungültig.

Der zweite Teil des Benutzerprinzipalnamens, das Benutzerprinzipalnamen-Suffix, identifiziert die Domäne, in der sich das Benutzerkonto befindet. Das Benutzerprinzipalnamen-Suffix kann aus dem DNS-Domänennamen oder dem DNS-Namen einer beliebigen Domäne in der Gesamtstruktur bestehen oder aber aus einem alternativen Namen, der von einem Administrator festgelegt wurde und nur für die Anmeldung verwendet wird. Dieses alternative Benutzerprinzipalnamen-Suffix des Benutzers muss kein gültiger DNS-Name sein.

In Active Directory ist das Benutzerprinzipalnamen-Suffix standardmäßig der DNS-Name der Domäne, in der das Benutzerkonto erstellt wurde. Meist handelt es sich dabei um den Domänennamen, der als Organisationsdomäne im Internet registriert ist. Durch die Verwendung alternativer Domänennamen als Benutzerprinzipalnamen-Suffix kann eine zusätzliche Anmeldesicherheit erreicht werden, und die für die Anmeldung an einer anderen Domäne in der Gesamtstruktur verwendeten Namen können vereinfacht werden.

Wenn z. B. Ihre Organisation eine umfangreiche Domänenstruktur verwendet, die nach Abteilung und Region organisiert ist, können Domänennamen ziemlich lang sein. Angenommen, der Standard-Benutzerprinzipalname für einen Benutzer in dieser Domänee lautet sales.westcoast.microsoft.com. Der Anmeldename für einen Benutzer in dieser Domäne würde demnach benutzer@sales.westcoast.microsoft.com lauten. Mit dem Benutzerprinzipalnamen-Suffixx "microsoft" könnte sich der Benutzer erheblich einfacher anmelden: benutzer@microsoft.

Sie können Domäne mit Active Directory-Domänen und -Vertrauensstellungen hinzufügen oder entfernen.

 

Verwendung von User Principal Namen zur Anmeldung über einen Forest.
Ein User Principal Name (UPN) ist eine Variation des Benutzerkontennamens, der wie eine Email-Adresse aussieht, aber genutzt werden kann, um sich an einer Domäne anzumelden. Die Syntax ist [username]@[string].
UPNs erlauben ihnen, den gleichen Anmeldenamen in verschiedenen Domänen des selben oder unterschiedlicher Forests zu verwenden.

Es gibt 2 Typen von UPNs
Implizit: immer in der Form userID@DNSDomainName.
Zum Beispiel johns@corp.microsoft.com ist der UPN für das Benutzerkonto von John Smith, dessen UserID ist johns und dessen Benutzerkonto Mitglieder des Forests corp.microsoft.com ist.
Die implizite Form des UPN ist immer mit dem Benutzerkonto verbunden , unabhängig davon, ob ein expliziter UPN definiert ist.

Explizit: Immer in der Form string@Anystring, wobei die beiden Zeichenketten string und AnyString Explizit von einem Administrator definiert wurden. Beispielsweise könnte John Smith den UPN ITJS@coneast haben.
Explizite UPNs sind in Situationen nützlich, in denen eine Organisation nicht den Namen von Domänen- oder Forest-Strukturen veröffentlichen wollen. Der Anwender kann sich nicht anmelden, weil es nur möglich ist, einen expliziten UPN-Namen zu nutzen, wenn es eine Forest-Vertrauensstellung gibt.
Alternativ kann der Vor-Windows 2000 Benutzername zur Anmeldung Verwendet werden.

Referenz:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/plan/mtfstwp.asp