19、活动目录对象与信任管理全解析

活动目录对象与信任管理全解析

1. 用户主体名称（UPN）配置

用户主体名称（UPN）是一种登录名，其格式类似于电子邮件地址，例如 user1@examcram.com。第一部分唯一标识用户，第二部分默认标识用户所属的域。当从森林中另一个域或受信任森林中的计算机登录到某个域时，UPN 特别方便。

1.1 UPN 后缀

Windows Server 2003 引入了 UPN 后缀的概念，它是 UPN 中 @ 字符右侧的部分。默认情况下，UPN 后缀是用户所属域的 DNS 名称。提供额外的 UPN 后缀可以简化管理和登录过程，具有以下优点：
- 简化登录 ：在多域森林中使用通用的 UPN 后缀可以简化所有用户的登录过程，特别是对于长子域名的情况。例如，默认 UPN 为 James@east.marketing.examcram.com 的用户可以使用更简单的 UPN，如 James@examcram。
- 隐藏域结构 ：使用通用的 UPN 后缀可以向外部森林中的用户隐藏真实的域结构，还能简化访客访问远程访问服务器的配置。
- 匹配邮件域名 ：当公司有多个部门使用不同的电子邮件域名但共享一个 AD DS 域时，可以使用 UPN 后缀匹配电子邮件域名，使用户能够使用电子邮件地址登录。
- 跨域登录 ：通用的 UPN 后缀有助于用户登录到现有森林中的域。但如果多个森林使用相同的 UPN 后缀，只能登录到同一森林中的域；如果使用显式 UPN 和外部信任，也只能使用 UPN 登录到同一森林中的域。 <