是否存在“完全合格”的说法？ Windows 身份验证上下文中的用户名？

Question

我的网络应用程序托管在 mydomain 上，具有与该域关联的以下 URI：blah.net。

我可以使用以下用户名之一登录：

• mydomain\ben
• [email protected]

在 Windows 身份验证上下文中，每种登录类型的名称是什么（是否有任何差异）？

Answer 1

• ben（在 mydomain\ben 中）是 SAM 帐户名称。 （“SAM”是安全帐户管理器（Security Account Manager）的缩写，它是旧的 Windows NT 帐户系统。）我不知道整个“mydomain\ben”构造是否有一个名称。

• [电子邮件受保护] 被调用UPN 或用户主体名称，其中“blah.net”是 UPN 后缀。

• 在 Active Directory 中，还有名为 DN 或 专有名称或 DN，对于 ben 来说可能是 CN=ben,OU=Users,DC=blah,DC=net 。这是我认为您得到的最接近“完全合格”的名称。它描述了对象的名称（CN 部分）和它驻留在 Active Directory 中的容器（OU 部分）以及 Active Directory 的 DNS 域名（DC 部分）。

在这三者中，DN 是唯一一个可用于直接绑定到 LDAP 用户对象而无需任何其他信息的DN。使用 UPN，您必须知道要查询的域控制器。 （也可以从 Domain\SamAccountName 获取该对象，但需要首先找到 Domain 的域控制器，然后使用给定的 SamAccountName< 搜索该对象/代码>）。

Answer 2

根据 Microsoft 的用户名格式文档：

• mydomain\ben 称为下层登录名
• [email protected] 称为用户主体名称

Answer 3

GetUserNameEx 已知的格式列于 EXTENDED_NAME_FORMAT 枚举。

我认为 SAM 兼容名称存在长度限制，有时可以通过 UPN 格式来克服。