upn суффикс что это

02.06.202202.06.2022 admin 0 Comments

Управление UPN суффиксами (UserPrincipalName) в Active Directory

В этой статье мы рассмотрим, что такое UPN (UserPrincipalName) суффиксы в Active Directory, как добавить дополнительные суффиксы в лесу AD, и назначить/изменить UPN суффикс пользователям Active Directory через графическую консоль и PowerShell.

По умолчанию в Active Directory в качестве UPN суффикса используется DNS имя вашего домена AD. Например, UserPrincipalName пользователя в домене winitpro.local выглядит так: username@winitpro.local.

Если в вашей внутренней AD DS используется немаршрутизируемое имя домена (например domain.local), вы не сможете верифицировать такой домен в Azure (Microsoft 365). Чтобы настроить синхронизацию с Azure вам придется переименовать домен AD (не всегда возможно), или (гораздо проще) добавить дополнительные (альтернативные) UPN суффиксы в своем AD.

Добавляем дополнительный UPN суффикс в Active Directory

В Active Directory вы можете добавить дополнительные (альтернативные) UPN суффиксы с помощью графической консолей Active Directory Domains and Trusts или через PowerShell.

Откройте консоль PowerShell и выполните команду Get-ADForest из модуля AD PowerShell. Следующая команда выведет все назначенные UPN суффиксы в лесу:

Get-ADForest | Format-List UPNSuffixes

Если список пуст, значит у вас используется суффикс UPN по умолчанию, соответствующий имени DNS домена.

Чтобы добавить дополнительный UPN суффикс (например, winitpro.ru), выполните команду:

Проверьте, что суффикс появился в UPNSuffixes:

Get-ADForest | Format-List UPNSuffixes

Как изменить UserPrincipalName у пользователей Active Directory?

Текущее значение UserPrincipalName пользователя можно вывести с помощью командлета Get-ADUser:

Dы можете задать новый UPN суффикс для своих пользователей. Самый простой вариант – изменить UserPrincipalName в свойствах пользователя в консоли ADUC ( dsa.msc ).

Как вы видите, в выпадающем списке доступны все UPN суффиксы домена. Выберите нужный и нажмите OK.

Обратите внимание, что на этой форме UserPrincipalName как бы состоит из двух частей – имени пользователя и UPN суффикса. Но по факту значение UserPrincipalName хранится в одном атрибуте AD.

Когда вам нужно изменить UPN сразу нескольким пользователям, можно выбрать

несколько пользователей в консоли ADUC и нажать Properties. Перейдите на вкладку Account и вы можете сменить UPN суффикс сразу для всех пользователей (если нужно собрать в плоский список пользователей из разных OU, воспользуйтесь сохраненными запросами в консоли ADUC).

На гораздо проще для смены UPN суффикса использовать PowerShell.

Чтобы изменить UPN суффикс одному пользователю, используйте командлет Set-ADUser с параметром UserPrincipalName

Следующий PowerShell скрипт позволит найти в указанной OU всех пользователей с определённым UPN суффиксом и изменить UserPrincipalName на новый.

Следующая команд PowerShell позволит найти пользователей, у которых userPrincipalName не задан:

Если вы создаёте нового пользователя, можете выбрать нужный UPN суффикс вместо DNS имени вашего домена.

Если вы создаёте пользователей с помощью PowerShell командлета New-ADUser, укажите новый UPN суффикс с помощью параметра UserPrincipalName:

Сегодня вопрос с UPN суффиксами чаще всего возникает, когда вы планируете настроить синхронизацию локальной (on-premises) Active Directory с Azure AD, Microsoft 365, Intune. В Azure именно userPrincipalName является уникальным идентификатором пользователя.

Исторически так сложилось, что многие компании для своих внутренних доменов AD использует немаршрутизируемые или несуществующие DNS имена (вида *.loc, *.local).

У каждого пользователя AD, который будет синхронизироваться в Azure должен быть назначен уникальный и маршрутизируемый в интернете userPrincipalName, который соответствует доменному имени вашего тенанта Azure (Microsoft 365).

Источник

Добавление альтернативного имени участника-суффикса к домену Active Directory

суффикс UPN это имя домена, которое добавляется после знака «@», когда создается учетная запись пользователя домена. Пример суффикс UPN может быть ‘mydomain.com’. Если учетная запись пользователя домена создается, полная учетная запись домена состоит из имени входа пользователя с последующим @ и имя домена. Например, полная учетная запись пользователя домена с именем ‘user01’ в области ‘mydomain.com’ будет ‘myaccount@mydoman.com’, где ‘mydomain.com’ суффикс UPN за счет пользователя домена ‘user01.

В соответствии с соглашениями пространства имен DNS, каждый раз, когда дочерний домен создается внутри родительского домена, имя родительского домена автоматически завершающее доменного имени ребенка. Например, если дочерний домен с именем ‘ваш_домен’ создается под ‘mydomain.com’ домена, а учетная запись пользователя домена ‘user02’ создается в » ваш_домен дочернего домена, UPN суффикс учетной записи пользователя домена ‘user02’ будет ‘ yourdomain.mydomain.com ‘, и полная учетная запись пользователя домена будет записано и использовано как’ user02@yourdomain.mydomain.com ‘.

Поскольку DNS-имен может иметь несколько дочерних доменов, в крупных отраслях промышленности, вероятно, что суффикс UPN для пользователя домена, который принадлежит к третьему или четвертому уровню дочернего домена было бы практически невозможным для общих нетехнических пользователей, чтобы помнить и использовать.

Чтобы избежать подобных ситуаций, большинство администраторов в организациях создают альтернативный UPN суффикс, который достаточно мал по длине (уменьшенные символов). Альтернативный суффикс UPN облегчает пользователям запоминать и использовать длинные учетные записи пользователей домена, заменив их первоначальный суффикс с альтернативным один. Более того, когда альтернативный UPN суффикс добавляется к учетной записи пользователя домена, пользователь должен не быть в курсе фактического доменного имени и его уровня во всем пространстве имен DNS. Учитывая, обсуждаемым выше пример ‘user02@yourdomain.mydomain.com’, если альтернативный суффикс UPN с именем ‘domain.com’ создается и добавляется к счету «user02», пользователь может затем использовать ‘user02@domain.com’ для входа в домен вместо использования ‘user02@yourdomain.mydomain.com’.

Альтернативные UPN суффикс для пользователя домена может быть определена либо в момент создания пользовательского домена учетной записи, или администраторы могут также сделать это после того, как они создали учетную запись пользователя домена. Тем не менее, альтернативный суффикс UPN должен быть создан в домене, прежде чем он может быть суффиксом для учетных записей пользователей домена.

Чтобы создать альтернативную UPN хватает в домене, администраторы должны выполнить указанные ниже:

Нажмите кнопку Свойства

Добавление дополнительного UPN-суффикса

Чтобы добавить альтернативный суффикс имени участника-пользователя к существующей учетной записи пользователя домена в сервере Microsoft Windows 2008 R2, администраторы должны выполнить указанные ниже:

Щелкните правой кнопкой мыши пользователя

Добавление альтернативного имени участника-суффикса для пользователя

Источник

Локальная инфраструктура и Azure AD

Если вам интересна тематика облачных технологий, рекомендую обратиться к тегу Cloud на моем блоге.

Локальная инфраструктура и Azure AD

Статья разбита на два основных раздела — настройка основного имени домена организации и развертывание Azure AD Connect. В первой части много чисто технической информации, но для полного понимания работы связки локалка-облако очень важно с ней ознакомиться.

Напоминаю, что настройку облачной инфраструктуры я рассматривал ранее в статье Подготовка Azure Active Directory.

Имя домена Active Directory

Имя домена вашей локальной инфраструктуры Active Directory может соответствовать какому-либо реальному публичному имени DNS, а может быть исключительно локальным. Единственное, вы должны понимать одну вещь: имя домена DNS и имя домена Active Directory — это не одно и то же, хоть они и могут полностью совпадать.

Если вы находитесь в процессе планирования вашей инфраструктуры, то советую ответственно отнестись к имени домена AD, поскольку изменить его потом будет проблемно, а неправильно выбранное имя обеспечит вам в будущем массу неудобств. Подробнее о выборе имени DNS для AD читайте в моей статье Пара слов про именование доменов Active Directory.

Публичное имя

Имея имя AD, которое соответствует публичному имени DNS, вам сравнительно повезло. Есть масса плюсов использования подобных имен, например возможность получить сертификаты от публичных доверенных центров, которые будут содержать внутренние имена серверов (если кто не в курсе, то включать локальные имена а-ля srv01.domain.local в сертификаты нельзя уже давно 1 ).

В контексте Azure AD публичное имя локального домена AD позволяет нам проходить аутентификацию на облачных ресурсах без каких-либо существенных изменений в инфраструктуре. Рассмотрим пример: есть домен corp.bissquit.ru, есть юзер Иван Иванов с учеткой i.ivanov. Этот пользователь сможет залогиниться в облачных ресурсах под своей обычной учетной записью i.ivanov@corp.bissquit.ru.

С локальными именами домена AD другая история.

Локальное имя

Если имя AD локальное, то в этом случае при развертывании Azure AD есть некоторые неудобства, поскольку залогиниться в облаке под учеткой например i.ivanov@sc.local вы не сможете, ведь домена sc.local в реальности не существует, это лишь ваш локальный домен. Также неудобства возникнут с сертификатами, как я и говорил выше.

Тем не менее, решение проблемы есть и заключается оно в создании дополнительного UPN-суффикса, о чем ниже.

Изменение UPN-суффикса

Ни для кого не секрет, что для повышения удобства пользователей и упрощения администрирования вы можете создать дополнительные UPN-суффиксы Active Directory. Сделать это можно через оснастку Active Directory — домены и доверие:

Просто откройте свойства раздела Active Directory — домены и доверие и добавьте нужный вам домен.

Следующий этап немного сложнее — необходимо для каждого пользователя AD, который будет обращаться к облачным ресурсам, изменить домен имени входа. Сделать это можно вручную, зайдя в свойства учетной записи пользователя:

Изменять учетку у каждого пользователя таким способом не совсем удобно, а потому все можно проделать скриптом:

Источник

Управление пользователями и данными входа

Переименование учетных записей

Вы можете переименовать пользовательскую учетную запись, выбрав ее в списке и нажав клавишу F2 (или щелкнув правой кнопкой мыши на этой записи и выбрав в контекстном меню пункт Rename). Эта учетная запись будет выделена, поэтому вы можете ввести новое имя.

После ввода нового имени нажмите клавишу ENTER, чтобы открыть диалоговое окно Rename User (Переименование пользователя), где вы можете внести другие изменения в запись этого пользователя (например, можно изменить имя входа).

Многие администраторы переименовывают учетную запись Administrator, что является хорошей мерой безопасности. Хотя опытные талантливые хакеры, возможно, могут справиться с этим «ухищрением», оно очень полезно для защиты от менее подготовленных злоумышленников, включая людей из вашей собственной пользовательской группы.

Чтобы еще больше повысить уровень защиты, после переименования этой учетной записи создайте другую учетную запись с именем Administrator. Сделайте ее членом группы Guests и отключите ее (см. ниже).

Чтобы запретить учетной записи вход в домен, вы можете отключить ее, что полезно также для шаблонов учетных записей, которые вы создаете только в целях копирования при создании нового пользователя. Но вы можете также отключить учетную запись, если считаете, что она была каким-либо образом компрометирована. После устранения проблемы снова включите (активизируйте) эту учетную запись для выполнения входа.

Чтобы отключить или включить учетную запись, щелкните правой кнопкой на этой учетной записи в правой панели оснастки Active Directory Users and Computers и выберите пункт Disable Account (Отключить учетную запись). Рядом со строкой этой учетной записи появится красный знак X. Чтобы включить учетную запись, щелкните правой кнопкой на этой учетной записи и выберите пункт Enable Account (Включить учетную запись).

Управление основными именами пользователей (UPN)

Чтобы создать суффикс UPN, выполните следующие шаги.

Новый суффикс UPN появится в раскрывающемся списке UPN, когда вы будете создавать нового пользователя, а также во вкладке Accounts (Учетные записи) диалогового окна Properties для существующего пользователя (что позволяет вам редактировать UPN).

Управление локальными пользовательскими учетными записями

Администрирование локальных пользовательских учетных записей выполняется из оснастки Computer Management (Управление компьютером), для открытия которой нужно щелкнуть правой кнопкой на My Computer (Мой компьютер ) и выбрать в контекстном меню пункт Manage (Управление). В дереве консоли раскройте объект Local Users and Groups (Локальные пользователи и группы) и выберите Users, чтобы вывести в правой панели локальные пользовательские учетные записи.

Только на рядовых серверах имеются локальные пользователи; вы не можете управлять локальными пользователями на компьютере Windows Server 2003, который действует как контроллер домена. И действительно, объект Local Users and Groups не появляется в оснастке Computer Management на контроллере домена.

Создание локальных пользовательских учетных записей

Чтобы создать новую локальную учетную запись, щелкните правой кнопкой на объекте Users в дереве консоли и выберите пункт New User (Создать пользователя). В диалоговом окне New User (рис. 12.6) выберите имя входа этого пользователя, полное имя, необязательное описание и пароль.

Если вы хотите изменить опции для пароля, то должны сначала сбросить флажок User must change password at next logon (Пользователь должен изменить пароль при следующем входе). После этого будут доступны и другие опции пароля. Для завершения щелкните на кнопке Create (Создать). Затем создайте другого пользователя или щелкните на кнопке Close, если вы закончили создание локальных пользователей.

Источник

Указание атрибута UserPrincipalName в Azure AD

В этой статье описывается, как указать атрибут UserPrincipalName в Azure Active Directory (Azure AD). Значение атрибута UserPrincipalName — это имя пользователя Azure AD для учетных записей пользователей.

Терминология имени участника-пользователя

В этом руководстве используется следующая терминология:

Что такое UserPrincipalName?

UserPrincipalName — это атрибут, который является именем пользователя для входа через Интернет на основе интернет-стандарта RFC 822.

Формат имени участника-пользователя

Имя участника-пользователя состоит из префикса (имя участника-пользователя) и суффикса (имя субъекта-пользователя). Префикс объединяется с суффиксом с помощью символа «@». Например, «someone@example.com». Имя участника-пользователя должно быть уникальным среди всех объектов субъекта безопасности в пределах леса каталога.

Имя участника-пользователя в Azure AD

Имя участника-пользователя применяется в Azure AD, чтобы пользователи могли войти. Имя участника-пользователя, доступное для применения, зависит от того, является ли домен проверенным. Если домен проверен, тогда пользователь с этим суффиксом получит право на вход в Azure AD.

Атрибуты синхронизируются службой Azure AD Connect. Во время установки можно просматривать проверенные и непроверенные домены.

Альтернативное имя пользователя

В некоторых средах пользователи могут знать только свой адрес электронной почты, но не имя участника-пользователя. Использование адреса электронной почты может объясняться требованиями корпоративной политики или зависимостью в локальном бизнес-приложении.

Альтернативное имя пользователя позволяет настроить процедуру входа таким образом, чтобы пользователи могли использовать для входа атрибут, отличный от имени участника-пользователя, например адрес электронной почты.

Чтобы включить альтернативное имя пользователя в Azure AD, не нужно дополнительно ничего настраивать, если включен Azure AD Connect. Альтернативное имя пользователя можно настроить непосредственно из мастера. Сведения о настройке входа в Azure AD для пользователей указываются в разделе «Синхронизация». В раскрывающемся списке Имя участника-пользователя выберите атрибут, который будет использоваться как альтернативный идентификатор входа.

Дополнительные сведения см. в статье Configuring Alternate Login ID (Настройка альтернативного имени пользователя) и разделе Конфигурация входа в Azure AD.

Непроверенный суффикс имени участника-пользователя

Проверенный суффикс имени участника-пользователя

Если атрибут UserPrincipalName или суффикс альтернативного имени пользователя для локальной среды подтвержден клиентом Azure AD, тогда значение атрибута UserPrincipalName Azure AD будет таким же, как и значение локального атрибута UserPrincipalName или альтернативного имени пользователя.

Расчет значения атрибута MailNickName Azure AD

Так как в качестве значения атрибута UserPrincipalName Azure AD можно задать MOERA, важно понять, как вычисляется значение атрибута MailNickName Azure AD, которое является префиксом MOERA.

Когда объект пользователя синхронизируется с клиентом Azure AD в первый раз, Azure AD проверяет следующие значения в определенном порядке и задает первое существующее значение для атрибута MailNickName:

Когда обновления пользовательского объекта синхронизируются с клиентом Azure AD, значение атрибута MailNickName обновляется, только если в локальной среде обновляется значение атрибута mailNickName.

Azure AD повторно вычислит значение атрибута UserPrincipalName, только если обновление значения атрибута UserPrincipalName или альтернативного имени входа в локальной среде синхронизируется с клиентом Azure AD.

Каждый раз, когда Azure AD повторно вычисляет атрибут UserPrincipalName, также повторно вычисляется и значение MOERA.