为什么要为AD中的开发人员提供电子邮件地址和域名地址？

Question

我公司的每个开发人员都有一个电子邮件地址。例如：Name@country.domain.com

但是他们也有一个域名/名称Name@country.domain.net（以下简称DN）

这引起很多混乱

1. 一个用作电子邮件（.com），而另一个则不使用，即使它们看起来都像电子邮件一样
2. 某些应用程序使用DN提供访问权限，某些应用程序使用电子邮件地址提供访问权限
3. 一些开发国家/地区已更改，他们决定不更改网络管理员可以使用的电子邮件。但是DN必须更改为他们所在的正确国家/地区。为什么必须强制将域名更改为国家/地区，而电子邮件可以保持原样？
4. 由于最后一个问题＃3，我们不得不找到使用DN的应用程序并将其全部更新。

还有更多问题：

1. 为什么这是电子邮件地址，然后是DN，为什么不能只有一个？
2. DN的确切用途是什么？
3. 每个用户都需要拥有这个（或仅仅是开发者）吗？

Answer 1

缩写“ DN”指AD中的distinguishedName属性。它还可以唯一标识该帐户，但这不是您在这里所说的。

您所说的是userPrincipalName属性（或UPN）。通常是“用户名”（sAMAccountName属性），后跟@和AD域的DNS域名。听起来这就是您的组织设置方式。由于帐户移动了域，因此UPN的域部分需要更改。

但是，从技术上讲，UPN后缀（域部分）可以是任何东西，尤其是您组织控制的任何域。甚至可以将其设置为与电子邮件地址相同，只是不必如此。

因此，如果您组织中的UPN与电子邮件地址不匹配，那么您的管理员只是没有努力做到这一点，或者他们有理由不这样做。

您不能直接使用电子邮件地址向AD进行身份验证。如果应用程序仅要求提供电子邮件和密码，并使用该密码来针对AD进行身份验证，则它必须在域上查找该电子邮件地址以找到用户名，然后使用用户名（sAMAccountName或{{ 1}}）进行身份验证。

更多阅读内容可能会有所帮助：User Naming Attributes