다음을 통해 공유

사용자 명명 특성

  • 아티클

보안 목적으로 사용되는 로그온 이름 및 ID 등의 사용자 개체를 사용자 이름 지정 특성이 식별합니다. 사용자 명명 특성의 예시로는 cn, namedistinguishedName 특성이 있습니다. 보안 주체 개체로서 사용자 개체는 다음과 같은 사용자 명명 특성도 포함합니다.

참고 항목

이러한 특성을 보고 관리하기 위해, RSAT(원격 서버 관리 도구)에서 사용 가능한 Active Directory 사용자 및 컴퓨터 MMC 스냅인을 사용할 수 있습니다.

userPrincipalName

userPrincipalName 특성은 사용자의 로그온 이름입니다. Windows 사용자의 가장 일반적인 로그온 이름인 UPN(사용자 계정 이름)으로 이러한 특성이 구성됩니다. 일반적으로 사용자는 도메인에 로그온하기 위해 UPN을 사용합니다. 이 특성은 단일 값인 인덱싱된 문자열입니다.

UPN은 인터넷 표준 RFC 822를 기반으로 한 사용자의 인터넷 스타일 로그인 이름입니다. UPN은 고유 이름보다 짧으며 기억하기 쉽습니다. 규칙에 따라 사용자의 이메일 이름에 매핑됩니다. 이메일 및 로그온 네임스페이스를 통합하여 사용자가 단일 이름만 기억하면 되도록 하는 것이 UPN의 포인트입니다.

UPN 형식

UPN은 UPN 접두사(사용자 계정 이름) 및 UPN 접미사(DNS 도메인 이름)으로 구성됩니다. "@" 기호를 사용해서 접두사를 접미사에 연결합니다. 예를 들어, "someone@ example.com"이 있습니다. UPN은 디렉터리 포리스트 내의 모든 보안 주체 개체 사이에서 고유해야 합니다. 따라서, UPN의 접두사는 재사용할 수 있으며, 동일한 접미사가 아닙니다.

UPN 접미사의 제한 사항은 다음과 같습니다.

  • 사용자가 포함된 도메인의 이름이 될 필요는 없지만, 도메인의 DNS 이름이어야 합니다.
  • 이는 구성 컨테이너 내 파티션 컨테이너의 upnSuffixes 특성에 나열된 대체 이름 또는 현재 도메인 포리스트에 있는 도메인의 이름이어야 합니다.

UPN Management

사용자 계정을 만드는 경우, UPN을 할당할 수는 있지만 필수는 아닙니다. UPN이 만들어지면, 사용자 이름을 변경하거나 이동하는 등의 사용자 개체의 다른 특성에 관한 변경 내용의 영향을 받지 않습니다. 디렉터리가 재구성되는 경우, 이를 통해 사용자는 동일한 로그인 이름을 유지할 수 있습니다. 하지만 관리자는 UPN을 변경 가능합니다. 새 사용자 개체를 만드는 경우, 아직 존재하지 않는지 확인하기 위해 로컬 도메인 및 제안된 이름에 대한 글로벌 카탈로그를 확인해야 합니다.

사용자가 도메인에 로그온하기 위해 UPN을 사용하는 경우, UPN의 유효성을 검사하기 위해 로컬 도메인 및 글로벌 카탈로그를 검색합니다. UPN을 글로벌 카탈로그에서 찾을 수 없는 경우, 로그온 시도는 실패합니다.

objectGUID

objectGUID 특성은 사용자의 고유 식별자입니다. 특성은 단일 값 128비트 GUID(Globally Unique Identifier)이며, ADS_OCTET_STRING 구조체로 저장됩니다. 사용자 개체를 만드는 경우, GUID는 Active Directory 서버에서 만듭니다.

이는 개체의 이름을 바꾸거나 이동하면 개체의 고유 이름이 변경되기 때문이며, 고유 이름은 개체의 신뢰할 수 있는 식별자가 아닙니다. Active Directory 도메인 Services에서, 개체의 objectGUID 특성은 개체의 이름이 변경되거나 이동되더라도 변경되지 않습니다. objectGUID의 문자열 형식을 검색하기 위해 IADs 속성 메서드GUID 속성 메서드를 사용할 수 있습니다.

sAMAccountName

sAMAccountName 특성은 Windows NT 4.0, Windows 95, Windows 98 및 LAN 관리자 등의 이전 버전의 Windows에서 클라이언트 및 서버를 지원하기 위해 사용되는 로그온 이름입니다. 로그온 이름은 도메인 내의 모든 보안 주체 개체에서 고유해야 하며, 글자수는 20자 이내여야 합니다.

objectSid

objectSid 특성은 사용자의 SID(보안 식별자)입니다. SID는 시스템에서 Windows 보안과 상호 작용하는 동안, 사용자 및 해당 그룹 멤버 자격을 식별하기 위해 사용됩니다. 해당 특성은 단일 값입니다. SID는 사용자를 보안 주체로 식별하기 위해 사용되는 고유한 이진 값입니다.

사용자가 생성되면, 시스템에 의해 SID가 설정됩니다. 각 사용자는 디렉터리에 있는 사용자 개체의 objectSid 특성에 저장되며, Windows 도메인에서 발급한 고유한 SID를 가지고 있습니다. 사용자가 로그온할 때마다 시스템은 사용자의 SID를 디렉터리에서 검색하며 사용자의 액세스 토큰에 배치합니다. 사용자가 멤버인 그룹에 관한 SID를 검색하고 사용자의 액세스 토큰에 배치하는 데도 사용자의 SID가 사용됩니다. 사용자 또는 그룹의 고유 식별자로 SID가 사용된 경우에는 다른 사용자 또는 그룹을 식별하기 위해 다시 사용할 수 없습니다.

sIDHistory

사용자 개체에 대한 이전 SID가 sIDHistory 특성에 포함됩니다. 이는 다중값 특성입니다. 사용자가 다른 도메인으로 이동한 경우, 사용자 개체에는 이전 SID가 있습니다. 사용자 개체를 새 도메인으로 이동할 때마다 새 SID가 만들어지고 objectSid 특성이 할당되며, sIDHistory 특성에 이전 SID가 추가됩니다.

사용자 개체 특성