Benutzerprinzipalname (UPN) im Active Directory konfigurieren


    Tags: , ,

    UPN-Suffix in Active Directory-Benutzer und -ComputerStatt mit Domäne\Benutzer­name kann man sich mit dem Benutzer­prinzipal­name (User Principal Name, UPN) am Active Direc­tory an­mel­den. Dafür ver­wendet man die Form benutzer­name@upnsuffix. Diese Anlei­tung zeigt, wie man den UPN an die Mail-Adresse anpasst.

    Um eine saubere und fehlerfreie Anmeldung am System zu gewährleisten, ist es wichtig, dass der UPN und die primäre SMTP-Mailadresse identisch sind, da es ansonsten etwa beim Autodiscover in Outlook zu Schwierigkeiten kommen kann.

    UPN-Suffixe auf einem Domänen Controller pflegen

    Im Unterschied zum Namen der Domäne lassen sich UPN-Suffixe beliebig ändern, sie sind daher auch unabhängig von der Domäne. Auf diese Weise lassen sich beispielsweise mehrere Firmen unter eine AD-Domäne abbilden.

    Öffnen Sie dazu die Active Directory-Domänen und -Vertrauensstellungen, klicken Sie in der Navigation mit der rechten Maustaste auf das Wurzelelement direkt oberhalb der Domäne und öffnen sie die Eigenschaften.

    Neues UPN-Suffix hinzufügen über AD-Domänen und -Vertrauensstellungen

    Im nun geöffneten Dialog können Sie nun neue UPN-Suffixe eintragen. In Active Directory-Benutzer und -Computer kann man dann für User diese neue UPN auswählen.

    UPN-Suffix in Active Directory-Benutzer und -Computer für einen Benutzer ändern

    UPN in Outlook on the web (OWA) verwenden

    Leider gibt es nur die Möglichkeit, jedem Benutzer immer nur einen Anmeldenamen zu geben. Das Login per Outlook on the Web (OWA) schaut dann unter Verwendung des UPN beispielsweise so aus:

    Anmeldung per UPN an Outlook on the web

    Damit OWA diese Form der Anmeldung akzeptiert, muss man das virtuelle Verzeichnis des IIS entsprechend konfigurieren. Dies erfolgt in der Exchange Webkonsole (ECP) unter Server => Virtuelle Verzeichnisse => OWA.

    Virtuelles IIS-Verzeichnis für OWA im Exchange Admin Center

    Hier legt man für die formular­basierte Authenti­fizierung als Anmelde­format den Benutzer­prinzipal­namen fest.

    Konfiguration der OWA-Anmeldung mittels UPN

    Anschließend muss man den IIS einmal mit iisreset neu starten, damit die Änderungen über­nommen werden.

    Wie man mit dem ADSI Editor leicht herausfinden kann, wird der UPN beim Benutzer in das Attribut userPrincipalName geschrieben.

    Wert des Attributs userPrincipalName im ADSI-Editor

    Das zeigt sich auch im Reiter Attribut-Editor von Active Directory-Benutzer und -Computer, wenn unter Ansicht die Erweiterten Features eingeschaltet sind.

    Bulk-Änderung von UPNs mit PowerShell

    Es stellt sich nun die Frage, wie man etwas größere Domänen pflegen kann, wenn etwa für verschiedene Firmen eigene UPNs verwendet werden, also zum Beispiel wenn Benutzer der Firma A ein anderes Suffix bekommen sollen als die der Firma B.

    Am besten geht dies über PowerShell. In meinem Beispiel filtere ich nach der Firma Musterfirma und möchte dafür den UPN contoso.net setzen.

    So könnte man nun das Active Directory nach und nach aufräumen und den Benutzern die richtige UPN verpassen.

    Ausgabe des Scripts zum Anpassen der UPN im Active Directory

    Natürlich kann das Script so geändert werden, dass die primäre SMTP-Mailadresse auf den UPN übertragen bzw. der UPN entsprechend angepasst wird.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Eich

    Roland Eich ist gelernter Fach­infor­matiker für System­inte­gration und in der IT seit über 14 Jahren zu Hause. Roland deckt auf­grund seiner Erfah­rungen ein breites Spek­trum der Microsoft-Produkt­palette ab.Zudem besitzt er ver­schiedene Zertifi­zierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
    // Kontakt: E-Mail //

    Ähnliche Beiträge

    Weitere Links

    4 Kommentare

    Danke für das PS-Script zur Änderung der UPNs!

    Danke an Herrn Eich für die spontane Hilfe für das Auslesen der eMail-Adresse, die dann als UPN eingesetzt wird.

    Achtung: Die primäre Email-Adresse ist nicht automatisch der Inhalt vom Attribut "mail", dieses Feld kann beliebig angepasst werden, auch ohne Exchange im Hintergrund. Bei Exchange ist die primäre Emailadresse die Zeile aus dem Attribut "proxyaddress", welches mit gross geschriebenem "SMTP:" beginnt (klein geschrieben sind die sekundären Adressen/Aliase). Den Wert aus der Attribut rauszufiltern ist etwas aufwändiger, der Rest vom Script kann aber unverändert übernommen werden.

    Hallo, nachdem ich einen zusätzlichen UPN-Suffix hinzugefügt habe und die Benutzer entsprechend umgestellt habe, tritt folgendes Problem auf.
    Alle Benutzer, die schon vor dem neuen UPN existierten werden beim Zugriff auf Netzlaufwerke (über VPN) nach Anmeldedaten gefragt. Alle Benutzer, die danach angelegt wurden, haben das Problem nicht.
    Wie kann ich das bei den Bestandsbenutzern korrigieren?
    Mit freundlichen Grüßen