CN(一般名)は、CNだけではユーザーを一意に識別しないため、ログインには適していません。私が持つことができる
CN=Ryan Ries,OU=Dallas,DC=Domain,DC=com
そして私も持つことができます
CN=Ryan Ries,OU=New York,DC=Domain,DC=com
ユーザーのCNもRDN(相対識別名)です。ユーザーは同じCNを持ちますが、DNは異なります。組織内にRyan Riesという名前の2人のユーザーがいる場合、問題が発生することに気付くかもしれません。2番目のSamAccountNameを次のようにする必要がありますrries2。
DN(識別名)は、次のようなユーザー名でシステムにログインしたいので、ログインに適していませんCN=ryan,OU=Texas,DC=brazzers,DC=com。DNを使用するとユーザーが一意かつ明確に識別されますが、入力するのは面倒です。ファイルシステム上の相対パスと絶対パスの概念は同じです。また、オブジェクトを検索することなく、ディレクトリ構造のどこにオブジェクトがあるかを正確に知っていることも意味します。あなたはしばしばそうしません。
これはあいまいな名前解決(ANR)と呼ばれます-ユーザーの識別名がないときにユーザーのディレクトリを検索します。
UPN(ユーザープリンシパル名)は、メールアドレスのように見え、ユーザーの会社のメールアドレスと同じである可能性があり、覚えやすく、名前が検索されるため、ログインすることをお勧めします。フォレストで検索する前に、まずローカルドメインで検索します。
マイクロソフトによると:UPNのポイントは、ユーザーが1つの名前を覚えるだけで済むように、電子メールとログオンの名前空間を統合することです。UPNは、Windowsユーザーの優先ログオン名です。ユーザーは、UPNを使用してドメインにログオンする必要があります。ログオン時に、最初にローカルドメインを検索し、次にグローバルカタログを検索することにより、UPNが検証されます。ローカルドメインまたはGCでUPNが見つからないと、UPNが拒否されます。UPNは割り当てることができますが、ユーザーアカウントの作成時に必須ではありません。
アプリケーションを設計するときは、最後に「不要」ビットを付けてください。
SamAccountNameは、ドメイン内の全員(フォレストではなく)に対して一意である必要があるため、SamAccountNameも優れています。さらに、SamAccountNamesは短いです。ADフォレストで一意に識別されない場合でも、ほとんどの人はSamAccountNamesを使用してログインします。そのため、SamAccountNameと共に使用するドメイン名を指定して、システムがログインしようとしているドメインを認識できるようにする必要があります。
詳細については、この問題に関する優れたドキュメントを次に示します。
http://msdn.microsoft.com/en-us/library/windows/desktop/ms677605(v=vs.85).aspx
http://msdn.microsoft.com/en-us/library/windows/desktop/ms680857(v=vs.85).aspx