Attributs de nommage d’utilisateur
Les attributs de nommage d’utilisateur identifient les objets utilisateur, tels que les noms de connexion et les identifiants utilisés à des fins de sécurité. Les attributs cn, name et distinguishedName sont des exemples d’attributs de nommage d’utilisateur. Un objet utilisateur est un objet principal de sécurité, il inclut donc également les attributs de nommage d’utilisateur suivants :
- userPrincipalName : le nom de connexion de l’utilisateur
- objectGUID : l’identifiant unique d’un utilisateur
- sAMAccountName : un nom de connexion compatible avec les versions antérieures de Windows
- objectSid : identifiant de sécurité (SID) de l’utilisateur
- sIDHistory : les SID précédents pour l’objet utilisateur
Remarque
Vous pouvez afficher et gérer ces attributs à l’aide du composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory, disponible dans les Outils d’administration de serveur distant (RSAT).
userPrincipalName
L’attribut userPrincipalName est le nom de connexion de l’utilisateur. Cet attribut se compose d’un nom principal d’utilisateur (UPN), qui est le nom de connexion le plus courant pour les utilisateurs Windows. Les utilisateurs utilisent généralement leur UPN pour se connecter à un domaine. Cet attribut est une chaîne indexée et à valeur unique.
Un UPN est un nom de connexion de style Internet pour un utilisateur basé sur la norme Internet RFC 822. Le UPN est plus court qu’un nom distinctif et plus facile à retenir. Par convention, cela doit être mappé au nom de l’e-mail de l’utilisateur. Le but du UPN est de consolider les espaces de noms des e-mails et des connexions afin que l’utilisateur n’ait qu’un seul nom à retenir.
Format UPN
Un UPN se compose d’un préfixe UPN (nom de compte d’utilisateur) et d’un suffixe UPN (nom de domaine DNS). Le préfixe et le suffixe sont liés par le symbole « @ ». Par exemple, « quelquun@exemple.com ». Un UPN doit être unique parmi tous les objets principaux de sécurité d’une forêt de répertoires. Cela signifie que le préfixe d’un UPN peut être réutilisé, mais pas avec le même suffixe.
Un suffixe UPN a les restrictions suivantes :
- Il doit s’agir du nom DNS d’un domaine, mais n’a pas besoin d’être le nom du domaine qui contient l’utilisateur.
- Il doit être le nom d’un domaine dans la forêt de domaines actuelle, ou un nom alternatif répertorié dans l’attribut upnSuffixes du conteneur Partitions dans le conteneur Configuration.
Gestion des UPN
Un UPN peut être attribué, mais n’est pas obligatoire, lors de la création d’un compte utilisateur. Lorsque le UPN est créé, il n’est pas affecté par les modifications apportées à d’autres attributs de l’objet utilisateur, comme lorsque l’utilisateur est renommé ou déplacé. Cela permet à l’utilisateur de conserver le même nom de connexion si un répertoire est restructuré. Cependant, un administrateur peut modifier un UPN. Lorsque vous créez un nouvel objet utilisateur, vous devez vérifier le domaine local et le catalogue global pour le nom proposé afin de vous assurer qu’il n’existe pas déjà.
Lorsqu’un utilisateur utilise un UPN pour se connecter à un domaine, le UPN est validé en recherchant dans le domaine local, puis dans le catalogue global. Si le UPN n’est pas trouvé dans le catalogue global, la tentative de connexion échoue.
objectGUID
L’attribut objectGUID est l’identifiant unique d’un utilisateur. Cet attribut est un identifiant unique global (GUID) à valeur unique de 128 bits, et est stocké en tant que structure ADS_OCTET_STRING. Le GUID est créé par le serveur Active Directory lors de la création d’un objet utilisateur.
Étant donné que le nom distinctif d’un objet change si l’objet est renommé ou déplacé, le nom distinctif n’est pas un identifiant fiable d’un objet. Dans les services de domaine Active Directory, l’attribut objectGUID d’un objet ne change jamais, même si l’objet est renommé ou déplacé. Vous pouvez récupérer la forme en chaîne du objectGUID en utilisant la méthode de propriété GUID dans les Méthodes de propriété IADs.
sAMAccountName
L’attribut sAMAccountName est un nom de connexion utilisé pour prendre en charge les clients et serveurs des versions antérieures de Windows, telles que Windows NT 4.0, Windows 95, Windows 98 et LAN Manager. Le nom de connexion doit comporter 20 caractères ou moins et être unique parmi tous les objets principaux de sécurité au sein du domaine.
objectSid
L’attribut objectSid est l’identifiant de sécurité (SID) de l’utilisateur. Le SID est utilisé par le système pour identifier un utilisateur et les groupes auxquels il appartient lors des interactions avec la sécurité Windows. Cet attribut est à valeur unique. Le SID est une valeur binaire unique utilisée pour identifier l’utilisateur en tant que principal de sécurité.
Le SID est défini par le système lors de la création de l’utilisateur. Chaque utilisateur dispose d’un SID unique émis par un domaine Windows et stocké dans l’attribut objectSid de l’objet utilisateur dans l’annuaire. Chaque fois qu’un utilisateur se connecte, le système récupère le SID de l’utilisateur dans l’annuaire et le place dans le jeton d’accès de l’utilisateur. Le SID de l’utilisateur est également utilisé pour récupérer les SID des groupes dont l’utilisateur est membre et les place dans le jeton d’accès de l’utilisateur. Lorsqu’un SID a été utilisé comme identifiant unique pour un utilisateur ou un groupe, il ne peut plus être réutilisé pour identifier un autre utilisateur ou groupe.
sIDHistory
L’attribut sIDHistory contient les anciens SID de l’objet utilisateur. Cet attribut est à valeurs multiples. Un objet utilisateur possède d’anciens SID si l’utilisateur a été déplacé dans un autre domaine. Chaque fois qu’un objet utilisateur est déplacé vers un nouveau domaine, un nouveau SID est créé et affecté à l’attribut objectSid, et l’ancien SID est ajouté à l’attribut sIDHistory.