Upn active directory что это
Перейти к содержимому

Upn active directory что это

  • автор:

Upn active directory что это

Product SiteDocumentation Site

⁠9.12. Добавление/Удаление UPN суффиксов

UserPrincipalName ( UPN ) — имя для входа пользователя в формате email-адреса, например, ivanov@test.alt. Здесь ivanov это UPN-префикс (имя пользователя в домене AD), test.alt — UPN-суффикс. По умолчанию в AD в качестве UPN-суффикса используется DNS имя домена AD. Добавление дополнительных имен доменов позволяет упростить процесс входа и повысить безопасность.

Для того чтобы добавить/удалить дополнительный UPN-суффикс, необходимо выполнить следующие шаги:

В контекстном меню домена выбрать пункт Изменить суффиксы UPN :

ADMC. Контекстное меню домена

В открывшемся диалоговом окне нажать кнопку Добавить… :

ADMC. Список UPN-суффиксов домена

Ввести альтернативный суффикс:

ADMC. Новый UPN-суффикс

Не требуется, чтобы суффикс UPN был действительным DNS-именем домена. Суффиксы UPN должны соответствовать условиям DNS-имен в отношении допустимых символов и синтаксиса.

Нажать кнопку ОК , чтобы добавить новый суффикс в список.

Чтобы удалить существующий суффикс, необходимо выбрать его в списке и нажать кнопку Удалить :

Управление UPN суффиксами (UserPrincipalName) в Active Directory

date

21.05.2021

user

itpro

directory

Active Directory, Azure, Windows Server 2016

comments

комментариев 12

В этой статье мы рассмотрим, что такое UPN (UserPrincipalName) суффиксы в Active Directory, как добавить дополнительные суффиксы в лесу AD, и назначить/изменить UPN суффикс пользователям Active Directory через графическую консоль и PowerShell.

UserPrincipalName (UPN) – это имя для входа пользователя в формате email адреса, например [email protected] (UPN имя не обязательно должно соответствовать email адресу пользователя). В этом примере kbuldogov это имя пользователя в домене AD (user logon name), contoso.com – UPN суффикс. Между ними разделитель @ .

По умолчанию в Active Directory в качестве UPN суффикса используется DNS имя вашего домена AD. Например, UserPrincipalName пользователя в домене winitpro.local выглядит так: [email protected].

Не путайте UserPrincipalName с sAMAccountName, который сейчас является legacy атрибутом AD, оставшимся со старых времен.

Если в вашей внутренней AD DS используется немаршрутизируемое имя домена (например domain.local), вы не сможете верифицировать такой домен в Azure (Microsoft 365). Чтобы настроить синхронизацию с Azure вам придется переименовать домен AD (не всегда возможно), или (гораздо проще) добавить дополнительные (альтернативные) UPN суффиксы в своем AD.

Добавляем дополнительный UPN суффикс в Active Directory

В Active Directory вы можете добавить дополнительные (альтернативные) UPN суффиксы с помощью графической консолей Active Directory Domains and Trusts или через PowerShell.

Откройте консоль PowerShell и выполните команду Get-ADForest из модуля AD PowerShell. Следующая команда выведет все назначенные UPN суффиксы в лесу:

Get-ADForest | Format-List UPNSuffixes

Если список пуст, значит у вас используется суффикс UPN по умолчанию, соответствующий имени DNS домена.

Чтобы добавить дополнительный UPN суффикс (например, winitpro.ru), выполните команду:

Get-ADForest | Set-ADForest -UPNSuffixes @

Проверьте, что суффикс появился в UPNSuffixes:

Get-ADForest | Format-List UPNSuffixes

Get-ADForest | Format-List UPNSuffixes

Можно добавить несколько уникальных UPN суффиксов. Обычно это используется, если в вашем домене находятся пользователи разных организаций (брендов) и вы хотите использовать для них разные UPN суффиксы.

  1. Также можно добавить UPN суффикс через консоль Active Directory Domains and Trusts:
  2. Откройте консоль domain.msc ;
  3. Откройте свойства Active Directory Domains and Trusts:
  4. Добавьте новый суффикс в поле Alternative UPN suffixes и нажмите Add.

добавить альтернативный UserPrincipalName пользователям в домене Active Directory

Как изменить UserPrincipalName у пользователей Active Directory?

Текущее значение UserPrincipalName пользователя можно вывести с помощью командлета Get-ADUser:

Get-ADUser UserPrincipalName

Dы можете задать новый UPN суффикс для своих пользователей. Самый простой вариант – изменить UserPrincipalName в свойствах пользователя в консоли ADUC ( dsa.msc ).

Как вы видите, в выпадающем списке доступны все UPN суффиксы домена. Выберите нужный и нажмите OK.

изменить UserPrincipalName пользователя

Обратите внимание, что на этой форме UserPrincipalName как бы состоит из двух частей – имени пользователя и UPN суффикса. Но по факту значение UserPrincipalName хранится в одном атрибуте AD.

атрибут UserPrincipalName в Active Directory

Когда вам нужно изменить UPN сразу нескольким пользователям, можно выбрать

несколько пользователей в консоли ADUC и нажать Properties. Перейдите на вкладку Account и вы можете сменить UPN суффикс сразу для всех пользователей (если нужно собрать в плоский список пользователей из разных OU, воспользуйтесь сохраненными запросами в консоли ADUC).

задать новый UPN suffix для нескольких пользователей

На гораздо проще для смены UPN суффикса использовать PowerShell.

Чтобы изменить UPN суффикс одному пользователю, используйте командлет Set-ADUser с параметром UserPrincipalName

Set-ADUser kbuldogov -UserPrincipalName [email protected]

Следующий PowerShell скрипт позволит найти в указанной OU всех пользователей с определённым UPN суффиксом и изменить UserPrincipalName на новый.

Get-ADUser -Filter -SearchBase » OU=Users,OU=SPB,OU=RU,DC=resource,DC=loc» |
ForEach-Object $UPN = $_.UserPrincipalName.Replace(«resource.loc»,»winitpro.ru»)
Set-ADUser $_ -UserPrincipalName $UPN -verbose
>

скрипт powershell для смены UserPrincipalName сразу множеству пользователей Active Directory

Следующая команд PowerShell позволит найти пользователей, у которых userPrincipalName не задан:

Get-ADUser -LDAPFilter «(!(userPrincipalName=*))» | Select distinguishedName

Различные проблемы с атрибутами пользователей, в том числе с userPrincipalName может помочь найти утилита IDFIX, которую Microsoft рекомендует использовать для проверки вашего on-premises Active Directory перед синхронизацией в Azure с помощью Azure AD Connect.

Если вы создаёте нового пользователя, можете выбрать нужный UPN суффикс вместо DNS имени вашего домена.

создать пользователя AD с новым UserPrincipalName

Если вы создаёте пользователей с помощью PowerShell командлета New-ADUser, укажите новый UPN суффикс с помощью параметра UserPrincipalName:

New-ADUser -Name «Test User2» -GivenName «Test» -Surname «User2» -SamAccountName «testuser2» -UserPrincipalName «[email protected]»

Сегодня вопрос с UPN суффиксами чаще всего возникает, когда вы планируете настроить синхронизацию локальной (on-premises) Active Directory с Azure AD, Microsoft 365, Intune. В Azure именно userPrincipalName является уникальным идентификатором пользователя.

Исторически так сложилось, что многие компании для своих внутренних доменов AD использует немаршрутизируемые или несуществующие DNS имена (вида *.loc, *.local).

У каждого пользователя AD, который будет синхронизироваться в Azure должен быть назначен уникальный и маршрутизируемый в интернете userPrincipalName, который соответствует доменному имени вашего тенанта Azure (Microsoft 365).

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

Использование дополнительных UPN-суффиксов в ALD Pro для аутентификации в доверенном домене MS AD

UserPrincipalName (UPN) – это имя для входа пользователя в формате email адреса. По умолчанию в Active Directory в качестве UPN суффикса используется DNS имя вашего домена AD. Например, UserPrincipalName пользователя в домене ms.ad выглядит так: username@ms.ad. В ряде случаев администратор вынужден вводить дополнительные (альтернативные) UPN-суффиксы. В статье рассматривается как использовать их в ALD Pro для входа в ПК, под управлением Astra Linux.

Окружение
* ALD Pro 1.4.1
* ALD Pro 2.x.x

Как войти в систему на клиентском ПК под управлением Astra Linux, находящемся в домене ALD Pro, от имени пользователя, созданного в доверенном домене Microsoft Active Directory (MS AD), используя дополнительные UPN-суффиксы?

Для поддержки входа пользователя с использованием дополнительных UPN-суффиксов следует:

  1. Убедиться в том, что IPA KDC корректно отображает дополнительные UPN-суффиксы. Для этого на контроллере домена ALD Pro:
    1. Получить билет администратора домена ALD Pro, выполнив команду в терминале (): kinit имя_администратора_домена_AldPro
    2. Запросить сведения о доверительных отношениях с MS AD, выполнив команду в терминале (): ipa trust-show имя_домена_MS_AD Пример результата выполнения команды:

    Имя области (realm): ms.ad Имя домена NetBIOS: MS Идентификатор безопасности домена: S-1-5-21-3238733890-3822432069-3742759889 Направление отношения доверия: Двустороннее отношение доверия Тип отношения доверия: Домен Active Directory Суффиксы UPN: test.ms.ad, 123.ms.ad
    [domain/aldpro.loc] id_provider = ipa ipa_server_mode = True ipa_server = dc1.aldpro.loc ipa_domain = aldpro.loc ipa_hostname = dc1.aldpro.loc auth_provider = ipa chpass_provider = ipa access_provider = ipa cache_credentials = True ldap_tls_cacert = /etc/ipa/ca.crt krb5_store_password_if_offline = True sudo_provider = ipa autofs_provider = ipa subdomains_provider = ipa session_provider = ipa hostid_provider = ipa krb5_use_enterprise_principal = True [sssd] services = ifp domains = aldpro.loc [nss] homedir_substring = /home memcache_timeout = 600 [pam] [sudo] [autofs] [ssh] [pac] [ifp] allowed_uids = 0, 114, 33, fly-dm, ipaapi [secrets] [session_recording]

    Для аутентификации в Астра Линукс к учётной записи пользователя, созданной в доверенном домене MS AD, необходимо добавлять дополнительный UPN-суффикс домена MS AD, например:

    Вход от имени пользователя, созданного в доверенном домене Microsoft Active Directory, используя дополнительный UPN суффикс

    где test.ms.ad — дополнительный UPN-суффикс в домене ms.ad.

    11 Доверительные отношения с MS AD

    Дата последней правки: 2023-12-22 09:22:38

    Население Microsoft Entra UserPrincipalName

    В этой статье описывается, как атрибут UserPrincipalName заполняется идентификатором Microsoft Entra. Значение атрибута UserPrincipalName — это имя пользователя Microsoft Entra для учетных записей пользователей.

    Терминология имени участника-пользователя

    В этом руководстве используется следующая терминология:

    Срок Description
    Исходный домен Домен по умолчанию (onmicrosoft.com) в клиенте Microsoft Entra. Например, contoso.onmicrosoft.com.
    Адрес маршрутизации электронной почты Microsoft Online (MOERA) Идентификатор Microsoft Entra вычисляет MOERA из атрибута Microsoft Entra MailNickName и начального домена Microsoft Entra в качестве @
    атрибут mailNickName в локальной среде; Атрибут в Active Directory, значение которого представляет собой псевдоним пользователя в организации Exchange.
    Атрибут mail в локальной среде Атрибут в Active Directory, значение которого представляет собой адрес электронной почты пользователя.
    Основной SMTP-адрес Основной адрес электронной почты объекта получателя Exchange. Например, SMTP: user@contoso.com.
    Альтернативный идентификатор входа Атрибут в локальной среде, который не является UserPrincipalName, например атрибут mail, используется для входа.

    Что такое UserPrincipalName?

    UserPrincipalName — это атрибут, который является именем пользователя для входа через Интернет на основе интернет-стандарта RFC 822.

    Формат имени участника-пользователя

    Имя участника-пользователя состоит из префикса (имя участника-пользователя) и суффикса (имя субъекта-пользователя). Префикс объединяется с суффиксом с помощью символа «@». Например, someone@example.com. Имя участника-пользователя должно быть уникальным среди всех объектов субъекта безопасности в пределах леса каталога.

    Имя участника-пользователя в идентификаторе Microsoft Entra

    Имя участника-пользователя используется идентификатором Microsoft Entra, чтобы разрешить пользователям входить в систему. Имя участника-пользователя, доступное для применения, зависит от того, является ли домен проверенным. Если домен проверен, пользователь с этим суффиксом сможет войти в идентификатор Microsoft Entra.

    Атрибут синхронизируется с помощью Microsoft Entra Подключение. Во время установки можно просматривать проверенные и непроверенные домены.

    Unverified domains

    Альтернативный идентификатор входа

    В некоторых средах пользователи могут знать только свой адрес электронной почты, но не имя участника-пользователя. Использование адреса электронной почты может объясняться требованиями корпоративной политики или зависимостью в локальном бизнес-приложении.

    Альтернативное имя пользователя позволяет настроить процедуру входа таким образом, чтобы пользователи могли использовать для входа атрибут, отличный от имени участника-пользователя, например адрес электронной почты.

    Чтобы включить альтернативный идентификатор входа с идентификатором Microsoft Entra, при использовании Microsoft Entra Подключение не требуется никаких дополнительных действий по настройке. Альтернативное имя пользователя можно настроить непосредственно из мастера. Сведения о настройке входа в Microsoft Entra для пользователей в разделе «Синхронизация». В раскрывающемся списке «Имя участника-пользователя» выберите атрибут для альтернативного идентификатора входа.

    Screenshot that highlights User Principal Name list where you select the Alternate login ID attribute.

    Непроверенный суффикс имени участника-пользователя

    Если локальный атрибут UserPrincipalName/альтернативный суффикс идентификатора входа не проверен с помощью клиента Microsoft Entra, то для атрибута Microsoft Entra UserPrincipalName задано значение MOERA. Идентификатор Microsoft Entra вычисляет MOERA из атрибута Microsoft Entra MailNickName и начального домена Microsoft Entra как @.

    Проверенный суффикс имени участника-пользователя

    Если локальный атрибут UserPrincipalName/Альтернативный суффикс идентификатора входа проверяется с помощью клиента Microsoft Entra, значение атрибута Microsoft Entra UserPrincipalName будет совпадать со значением локального атрибута UserPrincipalName или альтернативного идентификатора входа.

    Вычисление значения атрибута Microsoft Entra MailNickName

    Так как значение атрибута Microsoft Entra UserPrincipalName может иметь значение MOERA, важно понимать, как вычисляется значение атрибута Microsoft Entra MailNickName, являющееся префиксом MOERA.

    При первом синхронизации объекта пользователя с клиентом Microsoft Entra идентификатор Microsoft Entra проверка следующие элементы в указанном порядке и задает значение атрибута MailNickName первым существующим:

    • атрибут mailNickName в локальной среде;
    • префикс основного SMTP-адреса;
    • префикс атрибута mail в локальной среде;
    • префикс локального атрибута userPrincipalName или альтернативного имени пользователя.
    • префикс дополнительного SMTP-адреса.

    Когда обновления пользовательского объекта синхронизируются с клиентом Microsoft Entra, идентификатор Microsoft Entra обновляет значение атрибута MailNickName только в том случае, если имеется обновление до значения атрибута mailNickName в локальной среде.

    Идентификатор Microsoft Entra id пересчитывает значение атрибута UserPrincipalName только в том случае, если обновление атрибута UserPrincipalName или значение альтернативного идентификатора входа синхронизируется с клиентом Microsoft Entra.

    Каждый раз, когда идентификатор Microsoft Entra id пересчитывает атрибут UserPrincipalName, он также пересчитывает MOERA.

    В случае изменения проверенного домена идентификатор Microsoft Entra также пересчитывает атрибут UserPrincipalName. Дополнительные сведения см. в разделе «Устранение неполадок: аудит данных об изменении проверенного домена»

    Сценарии имени участника-пользователя

    Ниже приведены примеры сценариев, по которым вычисляется имя участника-пользователя.

    Сценарий 1. Непроверенный суффикс имени участника-пользователя. Начальная синхронизация

    Scenario1

    Объект пользователя в локальной среде:

    • mailNickName:
    • proxyAddresses:
    • Почты: us2@contoso.com
    • Userprincipalname: us3@contoso.com

    Синхронизация объекта пользователя с клиентом Microsoft Entra в первый раз

    • Задайте атрибут Microsoft Entra MailNickName для первичного префикса SMTP-адреса.
    • Задайте MOERA в формате @.
    • Задайте для атрибута Microsoft Entra UserPrincipalName значение MOERA.

    Объект пользователя клиента Microsoft Entra:

    • MailNickName : us1
    • Userprincipalname: us1@contoso.onmicrosoft.com

    Сценарий 2. Непроверенный суффикс имени участника-пользователя. Настройка атрибута mailNickName в локальной среде

    Scenario2

    Объект пользователя в локальной среде:

    • mailNickName: us4
    • proxyAddresses:
    • Почты: us2@contoso.com
    • Userprincipalname: us3@contoso.com

    Синхронизация обновления локального атрибута mailNickName с клиентом Microsoft Entra

    • Обновите атрибут Microsoft Entra MailNickName с помощью локального атрибута mailNickName.
    • Так как в локальном атрибуте userPrincipalName нет обновления, нет изменений в атрибуте Microsoft Entra UserPrincipalName.

    Объект пользователя клиента Microsoft Entra:

    • MailNickName: us4
    • Userprincipalname: us1@contoso.onmicrosoft.com

    Сценарий 3. Непроверенный суффикс имени участника-пользователя. Обновление атрибута userPrincipalName в локальной среде

    Scenario3

    Объект пользователя в локальной среде:

    • mailNickName: us4
    • proxyAddresses:
    • Почты: us2@contoso.com
    • Userprincipalname: us5@contoso.com

    Синхронизация обновления локального атрибута userPrincipalName с клиентом Microsoft Entra

    • Обновление локального атрибута userPrincipalName активирует пересчет атрибута MOERA и Microsoft Entra UserPrincipalName.
    • Задайте MOERA в формате @.
    • Задайте для атрибута Microsoft Entra UserPrincipalName значение MOERA.

    Объект пользователя клиента Microsoft Entra:

    • MailNickName: us4
    • Userprincipalname: us4@contoso.onmicrosoft.com

    Сценарий 4. Непроверенный суффикс имени участника-пользователя. Обновление локального атрибута mail и основного SMTP-адреса

    Scenario4

    Объект пользователя в локальной среде:

    • mailNickName: us4
    • proxyAddresses:
    • Почты: us7@contoso.com
    • Userprincipalname: us5@contoso.com

    Синхронизация обновления локального атрибута почты и основного SMTP-адреса с клиентом Microsoft Entra

    • После начальной синхронизации объекта пользователя обновления атрибута локальной почты и основного SMTP-адреса не повлияют на атрибут Microsoft Entra MailNickName или UserPrincipalName.

    Объект пользователя клиента Microsoft Entra:

    • MailNickName: us4
    • Userprincipalname: us4@contoso.onmicrosoft.com

    Сценарий 5. Проверенный суффикс имени участника-пользователя. Обновление суффикса атрибута userPrincipalName в локальной среде

    Scenario5

    Объект пользователя в локальной среде:

    • mailNickName: us4
    • proxyAddresses:
    • Почты: us7@contoso.com
    • Userprincipalname: us5@verified.contoso.com

    Синхронизация обновления локального атрибута userPrincipalName с клиентом Microsoft Entra

    • Обновление локального атрибута userPrincipalName активирует пересчет атрибута Microsoft Entra UserPrincipalName.
    • Задайте атрибуту Microsoft Entra UserPrincipalName значение локального атрибута userPrincipalName, так как суффикс имени участника-пользователя проверяется с помощью клиента Microsoft Entra.

    Объект пользователя клиента Microsoft Entra:

    • MailNickName: us4
    • Userprincipalname: us5@verified.contoso.com

    Next Steps

    • Интеграция локальных каталогов с идентификатором Microsoft Entra
    • Выборочная установка Microsoft Entra Connect

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *