Benutzerprinzipalname, User Principal Name (UPN)
In Microsoft Active Directory ist ein User Principal Name (UPN) oder Benutzerprinzipalname ein Benutzername und eine Domäne in einem E-Mail-Adressformat. In einem UPN folgt auf den Benutzernamen ein at-Zeichen (@), gefolgt von der Internet-Domäne des Active Directory.
Ein Beispiel für einen UPN ist [email protected]. Dabei ist tomw der Benutzername und corp.techtarget.com ist der vollqualifizierte Domänenname (FQDN) der Domäne und die registrierte Webadresse als Suffix. Der NetBIOS-Name der Domäne ist corp. Der UPN wird anstelle des nachrangigen Anmeldenamens corp\tomw verwendet.
Alle Active-Directory-Benutzerkonten müssen einen UPN haben. Ein impliziter UPN wird vom System bei der Kontoerstellung generiert, wenn der Administrator ihn nicht händisch erstellt. Jeder UPN muss in der Domäne eindeutig sein.
UPNs sind nützlich, weil sie der Compliance eher entsprechen, als die Nutzung des nachrangigen Anmeldenamens mit einem Backslash. Sie basieren auf dem Internet-Standard RFC 822. Dadurch können sie für die Authentifizierung bei Webdiensten und Nicht-Windows-Betriebssystemen verwendet werden. Der UPN eignet sich für föderierte, SAML- und OAuth-Szenarien.
Ist ein UPN dasselbe wie eine E-Mail-Adresse?
Ein UPN ist nicht dasselbe wie die E-Mail-Adresse des Benutzers. In vielen Fällen lauten sie sich aus Gründen der Benutzerfreundlichkeit gleich, doch UPN und E-Mail haben unterschiedliche interne Verwendungszwecke und sind in unterschiedlichen Active-Directory-Attributen definiert. Administratoren können UPN und E-Mail-Adresse beliebig verschieden voneinander festlegen. Der UPN und die E-Mail-Adresse sind außerdem dann unterschiedlich, wenn der FQDN der Domäne nicht über das Internet geroutet werden kann und eine andere Webdomäne benötigt wird, damit die E-Mail funktioniert.
Wenn der UPN eines Benutzers und die primäre E-Mail-SMTP-Adresse unterschiedliche Werte haben, führt dies zu Problemen. So nutzt beispielsweise ein ActiveSync-E-Mail-Client die E-Mail-Adresse, um den richtigen Server automatisch zu finden, und dann die E-Mail-Adresse als Anmeldenamen verwenden. Wenn der UPN und die E-Mail-Adresse jedoch unterschiedlich sind, muss der Benutzer die Serveradresse manuell eingeben und dann den ähnlich aussehenden, aber unterschiedlichen Benutzernamen hinterlegen.
UPN und Azure Active Directory
Microsoft Windows Azure Active Directory ist eine Cloud-basierte Implementierung von Active Directory. Es verwendet UPN als Benutzernamen oder primäre Kontoidentität. Während ein Benutzer bei der On-Premises-Authentifizierung nur seinen Benutzernamen eingeben muss, muss der Benutzer bei Azure AD fast immer seinen vollständigen UPN eingeben.
Standardmäßig ist der UPN in Azure AD auf [email protected] eingestellt, um einen weltweit eindeutigen Wert zu gewährleisten. Wenn ein Internetdomänenname von Azure AD verifiziert wurde, kann diese Domäne als UPN-Suffix dienen. Der UPN eines Benutzers lässt sich mit Remote-PowerShell-Befehlen ändern.
Es ist möglich, in Azure eine alternative Anmelde-ID anstelle des UPNs festzulegen. Das ist sinnvoll, wenn die E-Mail-Adresse und der UPN aufgrund von Richtlinien- oder Anwendungsabhängigkeit unterschiedlich sein müssen. Der Benutzer meldet sich dann mit seiner vertrauten E-Mail-Adresse statt mit seinem UPN an.
Erfahren Sie mehr über Identity and Access Management (IAM)
-
![]()
Ntdsutil, PowerShell und Bordmittel für Restore von AD
Von: Thomas Joos
-
![]()
Tutorial: Wie Sie Exchange Server außer Betrieb nehmen
Von: Helen Searle-Jones
-
![]()
Tipps für die Migration von Exchange Server zu Microsoft 365
Von: Helen Searle-Jones
-
![]()
Exchange Server außer Betrieb nehmen: Die wichtigsten Tipps
Von: Helen Helen Searle-Jones
