Ten artykuł opisuje, jak wybrać między atrybutem sAMAccountName, nazwą logowania NTLM/down-level a nazwą UPN dla konektora Rublon MFA dla Windows Logon i RDP, zwłaszcza podczas korzystania z funkcji Directory Sync.
Skorzystaj z tego artykułu, jeśli:
- Konektor Rublon MFA dla Windows dodaje zduplikowanego użytkownika podczas logowania do systemu Windows.
- Widok Rublon Prompt nie pojawia się dla lokalnego konta systemu Windows.
- Uwierzytelnianie MFA działa dla user@example.com, ale nie działa dla DOMAIN\user, lub odwrotnie.
- Synchronizujesz użytkowników z wielu domen usługi Active Directory.
- Nie masz pewności, czy włączyć funkcję Username Normalization.
Objaśnienie formatów nazw użytkowników w konektorze Rublon MFA dla Windows
| Format | Przykład | Ustawienia rejestru | Najlepsze zastosowanie |
| sAMAccountName | user | SendUPN=0, SendNTLM=0 | Środowiska usługi Active Directory z jedną domeną, w których krótkie nazwy użytkowników są unikalne i powinny być używane jako nazwy użytkowników w rozwiązaniu Rublon MFA |
| NTLM/down-level logon name | DOMAIN\user | SendUPN=0, SendNTLM=1 | Środowiska, w których rozwiązanie Rublon MFA powinno identyfikować użytkowników jako DOMAIN\user |
| UPN | user@example.com | SendUPN=1, SendNTLM=0 | Usługa Entra ID, środowiska hybrydowe oraz środowiska usługi Active Directory z wieloma domenami, w których użytkownicy mają unikalne nazwy UPN |
W terminologii firmy Microsoft DOMAIN\user to nazwa logowania typu down-level, a user@example.com to nazwa UPN. Atrybut userPrincipalName przechowuje nazwę logowania UPN użytkownika. W przypadku lokalnych kont systemu Windows częścią domenową w DOMAIN\user jest nazwa urządzenia, na przykład <device_name>\admin.
Zalecane ustawienia dla typowych scenariuszy
| Scenariusz | Ustawienie funkcji Directory Sync | Ustawienie konektora Windows | Normalizacja nazw użytkowników |
| Jedna domena usługi Active Directory, unikalne krótkie nazwy użytkowników. W klasycznym scenariuszu dla kont domenowych Windows użyj NTLM i włącz Username Normalization. | username_attribute: sAMAccountName | sendUPN=0, sendNTLM=1 | Włącz |
Wiele domen usługi Active Directory, możliwe duplikaty krótkich nazw użytkowników. Użyj UPN albo NTLM, ale nie włączaj Username Normalization, jeśli te same krótkie nazwy użytkowników mogą oznaczać różne osoby w różnych domenach. | username_attribute: userPrincipalName dla UPN albo atrybut zgodny z wybranym formatem użytkownika | UPN: sendUPN=1, sendNTLM=0 albo NTLM: sendUPN=0, sendNTLM=1 | Nie włączaj |
| Usługa Google Credential Provider for Windows lub konta Microsoft/Live, w których użytkownicy powinni być identyfikowani za pomocą adresu e-mail zamiast nazwy lokalnego konta systemu Windows, np. bob@rublon.com zamiast <device_name>\bob_rublon Zobacz: przewodnik po poświadczeniach Google Workspace | N/D | sendUPN=1, sendNTLM=0 | Nie jest zalecane jako rozwiązanie problemu niedopasowania nazw użytkowników w GCPW/Microsoft/Live. Zamiast tego użyj UPN. |
| Użytkownicy zarządzani ręcznie jako DOMAIN\user | N/D lub proces niestandardowy | sendUPN=0, sendNTLM=1 | Włącz tylko wtedy, gdy DOMAIN\user, user@example.com i user mają być traktowani jako ten sam użytkownik |
| Bez funkcji Directory Sync, z włączoną funkcją Automatic User Enrollment | N/D | Wybierz format, który ma zostać zapisany w rozwiązaniu Rublon MFA przy pierwszym logowaniu | Włącz tylko wtedy, gdy różne formaty nazw użytkowników mają być traktowane jako ten sam użytkownik |
| Lokalne konta systemu Windows, np. <device_name>\admin | N/D | Nie używaj identyfikacji wyłącznie przez UPN | Włącz tylko wtedy, gdy lokalne konta z tą samą krótką nazwą użytkownika na różnych urządzeniach mają być traktowane jako ten sam użytkownik |
Automatic User Enrollment
Jeśli funkcja Automatic User Enrollment jest włączona, a użytkownik nie istnieje jeszcze w konsoli Rublon Admin Console, rozwiązanie Rublon MFA może utworzyć użytkownika podczas pierwszego pomyślnego uwierzytelnienia.
Nazwa użytkownika utworzona w konsoli Rublon Admin Console zależy od formatu wysyłanego przez konektor Rublon MFA dla Windows:
- UPN tworzy użytkownika takiego jak user@example.com.
- NTLM tworzy użytkownika takiego jak DOMAIN\user.
- sAMAccountName tworzy użytkownika takiego jak user.
Jeśli używana jest funkcja Directory Sync, nie polegaj na funkcji Automatic User Enrollment przy rozwiązywaniu problemów z niedopasowaniem formatów nazw użytkowników. Zamiast tego skonfiguruj konektor Rublon MFA dla Windows tak, aby wysyłał ten sam format nazwy użytkownika, który importuje funkcja Directory Sync.
Lokalne konta systemu Windows i UPN
Ze względu na architekturę systemu Windows konta lokalne nie obsługują formatu UPN.
Począwszy od wersji 4.0.0 konektora Rublon MFA dla Windows Logon and RDP, lokalne konta systemu Windows są przechowywane w konsoli Rublon Admin Console razem z nazwą urządzenia, na przykład jako <device_name>\user.
Dla lokalnych kont systemu Windows użyj formatu NTLM/down-level logon name albo sAMAccountName. Nie konfiguruj Rublon MFA dla Windows do wysyłania UPN dla lokalnych kont, ponieważ lokalnego konta Windows nie można rozpoznać jako UPN. Jeśli konektor Rublon MFA dla Windows jest skonfigurowany tak, aby wysyłał nazwy UPN, a system Windows nie może rozpoznać nazwy UPN dla konta, użytkownik może zostać pominięty lub zablokowany, w zależności od ustawienia FailMode.
Jeśli ta sama nazwa konta lokalnego istnieje na wielu urządzeniach, funkcja Username Normalization może zostać użyta, aby traktować nazwy użytkowników takie jak DEVICE_A\admin i DEVICE_B\admin jako tego samego użytkownika rozwiązania Rublon MFA.
Wiele domen usługi Active Directory
Jeśli synchronizujesz użytkowników z więcej niż jednej domeny usługi Active Directory, nie używaj sAMAccountName, chyba że krótkie nazwy użytkowników są unikalne we wszystkich domenach.
Przykład:
- DOMAIN-A\jsmith
- DOMAIN-B\jsmith
Obaj użytkownicy mają ten sam atrybut sAMAccountName: jsmith. Jeśli rozwiązanie Rublon MFA zidentyfikuje obu użytkowników jako jsmith, mogą oni zostać dopasowani do tego samego użytkownika w konsoli Rublon Admin Console.
W środowisku wielodomenowym możesz użyć UPN, na przykład:
- jsmith@domain-a.example.com
- jsmith@domain-b.example.com
Możesz też użyć NTLM/down-level logon name i wyłączyć Username Normalization. W takim przypadku Rublon MFA będzie traktować DOMAIN-A\jsmith i DOMAIN-B\jsmith jako różnych użytkowników.
Pamiętaj, że ostatecznie ważne jest to, czy za kontami stoi ta sama osoba. Jeśli jedna osoba ma konta w kilku domenach, na przykład administrator MSP obsługujący kilku klientów, rozważ użycie aliasów nazw użytkownika zamiast scalania wszystkich kont przez Username Normalization.
Username Normalization
Funkcja Username Normalization traktuje user@example.com, DOMAIN\user i user jako tego samego użytkownika Rublon MFA. Na przykład, gdy funkcja Username Normalization jest włączona, bob.smith@rublon.com, rublon\bob.smith i bob.smith są traktowani jako ten sam użytkownik.
Jest to przydatne, gdy ten sam użytkownik może logować się przy użyciu różnych formatów nazw użytkownika w środowisku z jedną domeną. Jednak może to być niebezpieczne w środowiskach z wieloma domenami, gdzie różni użytkownicy mogą mieć tę samą krótką nazwę użytkownika.
Nie włączaj funkcji Username Normalization w środowiskach z wieloma domenami, chyba że masz pewność, że krótkie nazwy użytkowników są unikalne we wszystkich domenach.
Rozwiązania znanych problemów
Konektor Rublon MFA dla Windows dodaje zduplikowanego użytkownika
Przyczyna: Funkcja Directory Sync importuje użytkownika w jakimś formacie, ale konektor Rublon MFA dla Windows wysyła inny format.
Przykład:
- Funkcja Directory Sync importuje user@example.com.
- Konektor Rublon MFA dla Windows wysyła DOMAIN\user.
Rozwiązanie: Skonfiguruj konektor Rublon MFA dla Windows tak, aby wysyłał ten sam format nazwy użytkownika, który importuje funkcja Directory Sync. Na przykład, jeśli funkcja Directory Sync importuje użytkowników przy użyciu username_attribute: userPrincipalName, skonfiguruj konektor Rublon MFA dla Windows tak, aby wysyłał nazwy UPN: SendUPN=1, SendNTLM=0.
Widok Rublon Prompt nie pojawia się dla lokalnego konta systemu Windows
Przyczyna: Konektor Rublon MFA dla Windows jest skonfigurowany do wysyłania nazw UPN, ale lokalne konta systemu Windows nie obsługują formatu UPN.
Rozwiązanie: Nie używaj identyfikacji wyłącznie przez UPN dla lokalnych kont systemu Windows. Sprawdź format nazwy użytkownika oraz konfigurację FailMode.
Użytkownicy z dwóch domen są kojarzeni z jednym kontem Rublon MFA
Przyczyna: Użytkownicy mają tę samą krótką nazwę użytkownika albo funkcja Username Normalization usuwa część domenową z ich nazw użytkowników.
Rozwiązanie: Użyj formatu, który jednoznacznie rozróżnia użytkowników z różnych domen. Możesz użyć UPN, konfigurując funkcję Directory Sync tak, aby importowała userPrincipalName oraz konfigurując konektor Rublon MFA dla Windows tak, aby wysyłał nazwy UPN: SendUPN=1, SendNTLM=0. Możesz też użyć NTLM/down-level logon name: SendUPN=0, SendNTLM=1. Nie włączaj Username Normalization, jeśli te same krótkie nazwy użytkowników mogą oznaczać różne osoby w różnych domenach.
MFA działa dla „DOMAIN\user”, ale zsynchronizowany użytkownik to „user@example.com”
Przyczyna: Konektor Rublon MFA dla Windows wysyła nazwy logowania NTLM/down-level, ale funkcja Directory Sync importuje nazwy UPN.
Rozwiązanie: Ustaw konektor Rublon MFA dla Windows tak, aby wysyłał nazwy UPN: SendUPN=1, SendNTLM=0.
MFA działa dla „user@example.com”, ale zsynchronizowany użytkownik to „user”
Przyczyna: Konektor Rublon MFA dla Windows wysyła nazwy UPN, ale funkcja Directory Sync importuje atrybut sAMAccountName.
Rozwiązanie: Wybierz jeden spójny model identyfikacji użytkowników.
W środowisku z jedną domeną i unikalnymi krótkimi nazwami użytkowników możesz skonfigurować funkcję Directory Sync tak, aby importowała sAMAccountName, skonfigurować konektor Rublon MFA dla Windows tak, aby wysyłał nazwy NTLM/down-level, oraz włączyć Username Normalization: SendUPN=0, SendNTLM=1.
W środowisku z wieloma domenami użyj UPN albo NTLM.
Dla UPN skonfiguruj funkcję Directory Sync tak, aby importowała userPrincipalName, i skonfiguruj konektor Rublon MFA dla Windows tak, aby wysyłał nazwy UPN: SendUPN=1, SendNTLM=0.
Dla NTLM skonfiguruj konektor Rublon MFA dla Windows tak, aby wysyłał nazwy NTLM/down-level: SendUPN=0, SendNTLM=1 i nie włączaj Username Normalization, jeśli te same krótkie nazwy użytkowników mogą oznaczać różne osoby w różnych domenach.
Użytkownicy są zarządzani ręcznie jako DOMAIN\user
Przyczyna: Niekoniecznie jest to problem. W niektórych środowiskach użytkownicy są celowo identyfikowani za pomocą nazwy logowania NTLM/down-level.
Rozwiązanie: Skonfiguruj konektor Rublon MFA dla Windows tak, aby wysyłał nazwy logowania NTLM/down-level: SendUPN=0, SendNTLM=1.
Włącz funkcję Username Normalization tylko wtedy, gdy DOMAIN\user, user@example.com i user mają być traktowani jako ten sam użytkownik Rublon MFA.
Powiązane wpisy
Rublon MFA for Windows Logon & RDP – Dokumentacja
Jak synchronizować użytkowników z usługi Active Directory za pomocą funkcji Directory Sync