Сколько имен у пользователя в Active Directory?

Служба каталогов Active Directory (AD) хранит множество имен, которые используются для обозначения или описания объекта, например, учетной записи пользователя. Большинство имен являются атрибутами объекта, которые могут ссылаться на другой атрибут или быть вычисляемым - состоящий из значений других атрибутов.

---

Если открыть оснастку Active Directory Users and Computers (ADUC) и создать новую учетную запись, то появится форма для заполнения полей:

При создании указываем Имя (First name), Фамилию (Last name) и инициалы (Initials), из которых формируется полное имя (Full name). Так же есть два поля для имени входа — User logon name и User logon name (pre-Windows 2000).

Чтобы просмотреть все атрибуты для учетной записи, необходимо в оснастке ADUC включить расширенные возможности отображения данных отметив в меню View пункт Advanced Features.

Открыв свойства учетной записи и перейдя во вкладку Attribute Editor будут отображены все атрибуты для данной учетной записи в AD с различными атрибутами, но схожими значениями.

Полному имени пользователя соответствуют три атрибута - cn, displayName и name. Значение одинаковое, но назначение каждого атрибута разное.

Полное имя (name) и общее имя (Common name, cn) — это два разных атрибута, хотя возвращают каждый одно и то же значение. Это происходит потому, что атрибут name аналогичен относительному отличительному имени (Relative Distinguished Name, RDN), а RDN — это часть отличительного имени (Distinguished Name, DN). Так если DN равно ″CN=Иван П. Сидоров,OU=TestOU,DC=demo,DC=daste,DC=ru″, то RDN будет ″CN=Иван П. Сидоров″. Отсюда получаем, что если cn=″Иван П. Сидоров″, то name =″cn=Иван П. Сидоров″.

Изменить значение атрибута cn нет возможности, потому что всегда равно значению name.

Отображаемое имя (displayName) по умолчанию формируется по принципу: полное (name) и общее (cn) имена. Для проверки можно изменить полное имя пользователя и увидеть, что полное и отображаемое имена изменяются независимо друг от друга.

В редакторе атрибутов можно увидеть, что вместе со значением атрибута name изменилось и значение cn, при этом вручную значение не изменялось.

Кроме отображаемого имени (displayName) у учетной записи пользователя есть еще отображаемое имя для печати (displayNamePrintable). Это два разных, независимых друг от друга атрибута.

Имя пользователя соответствует атрибуту givenName, а фамилия — атрибуту sn (Surname). К отчеству относится атрибут OtherName.

С помощью командлета Get-ADUser можно получить все атрибуты схожие и относящиеся к имени пользователя:

Get-ADUser ivan.sidorov -Properties * | select *name 

Атрибут OtherName является пустым и можно задать значение командлетом Set-ADUser:

Get-ADUser ivan.sidorov -Properties * | Set-ADUser -OtherName "Петрович" 

В результате теперь отображаются два атрибута с заданным значением — OtherName и middleName.

При этом в PowerShell отображаются два атрибута, а в оснастке ADUC отображается только один атрибут middleName.

Имен входа (logon names) для учетной записи пользователя два.

User logon name соответствует атрибуту userPrincipalName, а User logon name (pre-Windows 2000) соответствует атрибуту sAMAccountname.

userPrincipalName (UPN) — имя участника-пользователя. Это новый формат указания имени пользователя для входа в систему, основанный на интернет-стандарте RFC 822. Для входа используется сочетание имени пользователя с доменным суффиксом, например ivan.sidorov@demo.daste.ru. Имя участника-пользователя должно быть уникальным среди всех объектов-участников безопасности в лесу доменов. Максимальная длина UPN составляет 1024 символа. UPN не является обязательным атрибутом, оно может быть не назначено при создании учетной записи пользователя.

sAMAccountName — имя учетной записи SAM. Предназначено для совместимости со старыми (до Windows 2000) операционными системами. Это не означает, что sAMAccountName не используется в качестве имени для входа в современных системах Windows. sAMAccountname должно быть уникальным в рамках домена, имеет ограничение в 20 символов и работает в сочетании с NETBIOS именем домена, например DEMO\ivan.sidorov. sAMAccountName является обязательным атрибутом пользователя.

Учетная запись пользователя имеет еще два атрибута, это DistinguishedName (различающееся имя) и CanonicalName (каноническое имя). Оба эти атрибута однозначно определяют объект в Active Directory.

Различающееся имя включает в себя относительное отличительное имя объекта (RDN), а также полный путь к контейнеру, содержащему объект в Active Directory, например  ″CN=Иван Петрович Сидоров,CN=TestOU,DC=Demo,DC=daste,DC=ru″. Каноническое имя — это то же различающееся имя объекта, но в каноническом виде, например ″demo.daste.ru/TestOU/Иван Петрович Сидоров″.

В таблице содержаться атрибуты учетной записи пользователя которые имеют отношение к его имени.

Имя атрибута	Имя в оснастке ADUC	Описание	Значение (пример)
givenName	First name	Имя	Иван
sn (SurName)	Last name	Фамилия	Сидоров
OtherName (middleName)		Дополнительное имя (напр. отчество)	Петрович
Initials	Initials	Инициалы	П
CommonName (cn)		Общее имя	Иван Петрович Сидиров
name	Full name	Полное имя	Иван Петрович Сидиров
displayName	Display name	Отображаемое имя	Иван Петрович Сидиров
DisplayNamePrintable		Отображаемое имя для печати	Иван Петрович Сидиров
DistinguishedName (DN)		Отличительное (уникальное) имя	CN=Иван Петрович Сидоров,CN=TestOU,DC=Demo,DC=daste,DC=ru
sAMAccountName	User logon name (pre-Windows 2000)	Имя входа пользователя (пред-Windows 2000)	ivan.sidorov
userPrincipalName	User logon name	Имя входа пользователя	ivan.sidorov@demo.daste.ru
CanonicalName	Canonical Name	Имя объекта в каноническом формате	demo.daste.ru/TestOU/Иван Петрович Сидоров

Тем не менее обязательные атрибуты для создания учетной записи необходимы не все. Если в редакторе атрибутов отфильтровать все атрибуты по признаку обязательный (Mandatory), то будут отображаться только два имени — CommonName (cn) и sAMAccountName.

---

Со всеми атрибутами учетной записи пользователя можно ознакомиться в документации вендора.