UPN für AD-User auf beliebigen Wert setzen - dumme Idee?

[wznutzer 35]

Guten Abend und ein frohes Neujahr,

 

in einem komplett neu aufgesetzten AD sollen sich die User mir "ihrer" Email-Adresse anmelden können. D.h. die Email-Adresse ist eindeutig, hat aber natürlich gar nichts mit meiner Domain zu tun. Hat man selber mehrere Domains kann man das mit einem Suffix machen. Das ist aber für diesen Fall unpraktikabel.

 

Den UPN kann ich sowohl im Attribut selber oder auch per Powershell auf einen beliebigen Wert ändern. Es scheint da keine Plausibilitätsprüfungen auf ein Format (name@domain.de) zu geben. Ebenso funktioniert die Anmeldung, Gruppenauflösung, Replikation usw. völlig problemlos. Exchange, Hybrid oder ähnliches wird es da nie geben.

 

Also in der Domäne firma.de kann es einen User mit dem UPN franz.muster@web.de geben und dieser kann sich problemlos anmelden.

 

Soweit ich weiß wird beim Anmeldeprozess mit einem UPN die lokale Domäne und dann der globale Katalog durchsucht. Der Anmeldeversuch schlägt fehl, wenn dieser nicht gefunden wird. 

 

Also es funktioniert, aber ist das eine dumme Idee, es so zu machen? Ich rechne im Lauf der Zeit mit ca. 800 - 1.000 User.

 

Grüße und einen schönen Abend

 

 

 

 

bearbeitet 4. Januar von wznutzer
Schreibfehler

[cj_berlin 1.356]

Moin,

 

solange der Forest keine Vertrauensstellungen unterhält, kannst Du es machen. Wenn Cross-Forest-Operationen nötig sind, muss das Suffix-Routing funktionieren, und da wird es knallen.

[wznutzer 35]

Hi,

es ist "nur" eine Übergangslösung für ca. 2 Jahre. Bis der Softwareanbieter eine Webapplikation gebaut hat. Mehrere Forests, Domänen oder Vertrauensstellungen wird es nicht geben. Danke für den Hinweis.

[daabm 1.375]

Anmelden mit Mailadresse ist ne Schnapsidee... Macht keiner, weil die viel zu lang ist.

[NorbertFe 2.104]

Machen sehr viele, gibt erstens auch kurze Mailadressen und zweitens hat sich das halt „eingebürgert“, dass man sich mit einem anmeldenamen der der Mailadresse entspricht anmelden zu können. Bei extern föderierten Services ist das vermutlich auch eine der gängigen Methoden. 

[daabm 1.375]

Meine samid ist 7 Stellen lang. Zeig mir mal ne Mailadresse, die kürzer ist 😂

[cj_berlin 1.356]

vor 4 Minuten schrieb daabm:

Meine samid ist 7 Stellen lang. Zeig mir mal ne Mailadresse, die kürzer ist 😂

Wenn Twitter nach Deutschland kommt, hat Elon die Adresse e@x.de  

Und die Leute von der iX haben 2-stellige Kürzel und somit 8-stellige e-Mail-Adressen. Nicht kürzer als Dein samAccountName, aber trotzdem ziemlich geil.

[wznutzer 35]

Am 17.1.2025 um 19:04 schrieb daabm:

Anmelden mit Mailadresse ist ne Schnapsidee... Macht keiner, weil die viel zu lang ist.

In diesem Fall wäre es für die Nutzer ein weiterer Accountname den sie sich merken müssen. Die eigene Email-Adresse wissen die, unabhängig von der Länge, schon.

[NilsK 2.971]

Moin,

 

Am 17.1.2025 um 19:04 schrieb daabm:

Anmelden mit Mailadresse ist ne Schnapsidee... Macht keiner, weil die viel zu lang ist.

 

wieso, wie oft muss ein normaler Anwender die denn tippen? Mehr als einmal?

 

Gruß, Nils

 

[cj_berlin 1.356]

vor einer Stunde schrieb NilsK:

wieso, wie oft muss ein normaler Anwender die denn tippen? Mehr als einmal?

Klar, jeden Tag, wenn Du die BSI- oder CIS-Härtung anwendest, dann wird der letzte angemeldete Name nicht vorbelegt.