Benutzerprinzipalname (UPN) im Active Directory konfigurieren

    UPN-Suffix in Active Directory-Benutzer und -ComputerStatt mit Domäne\Benutzer­name kann man sich mit dem Benutzer­prinzipal­name (User Principal Name, UPN) am Active Direc­tory an­mel­den. Dafür ver­wendet man die Form benutzer­name@upnsuffix. Diese Anlei­tung zeigt, wie man den UPN an die Mail-Adresse anpasst.

    Um eine saubere und fehlerfreie Anmeldung am System zu gewährleisten, ist es wichtig, dass der UPN und die primäre SMTP-Mailadresse identisch sind, da es ansonsten etwa beim Autodiscover in Outlook zu Schwierigkeiten kommen kann.

    UPN-Suffixe auf einem Domänen Controller pflegen

    Im Unterschied zum Namen der Domäne lassen sich UPN-Suffixe beliebig ändern, sie sind daher auch unabhängig von der Domäne. Auf diese Weise lassen sich beispielsweise mehrere Firmen unter eine AD-Domäne abbilden.

    Öffnen Sie dazu die Active Directory-Domänen und -Vertrauensstellungen, klicken Sie in der Navigation mit der rechten Maustaste auf das Wurzelelement direkt oberhalb der Domäne und öffnen sie die Eigenschaften.

    Neues UPN-Suffix hinzufügen über AD-Domänen und -Vertrauensstellungen

    Im nun geöffneten Dialog können Sie nun neue UPN-Suffixe eintragen. In Active Directory-Benutzer und -Computer kann man dann für User diese neue UPN auswählen.

    UPN-Suffix in Active Directory-Benutzer und -Computer für einen Benutzer ändern

    UPN in Outlook on the web (OWA) verwenden

    Leider gibt es nur die Möglichkeit, jedem Benutzer immer nur einen Anmeldenamen zu geben. Das Login per Outlook on the Web (OWA) schaut dann unter Verwendung des UPN beispielsweise so aus:

    Anmeldung per UPN an Outlook on the web

    Damit OWA diese Form der Anmeldung akzeptiert, muss man das virtuelle Verzeichnis des IIS entsprechend konfigurieren. Dies erfolgt in der Exchange Webkonsole (ECP) unter Server => Virtuelle Verzeichnisse => OWA.

    Virtuelles IIS-Verzeichnis für OWA im Exchange Admin Center

    Hier legt man für die formular­basierte Authenti­fizierung als Anmelde­format den Benutzer­prinzipal­namen fest.

    Konfiguration der OWA-Anmeldung mittels UPN

    Anschließend muss man den IIS einmal mit iisreset neu starten, damit die Änderungen über­nommen werden.

    Wie man mit dem ADSI Editor leicht herausfinden kann, wird der UPN beim Benutzer in das Attribut userPrincipalName geschrieben.

    Wert des Attributs userPrincipalName im ADSI-Editor

    Das zeigt sich auch im Reiter Attribut-Editor von Active Directory-Benutzer und -Computer, wenn unter Ansicht die Erweiterten Features eingeschaltet sind.

    Bulk-Änderung von UPNs mit PowerShell

    Es stellt sich nun die Frage, wie man etwas größere Domänen pflegen kann, wenn etwa für verschiedene Firmen eigene UPNs verwendet werden, also zum Beispiel wenn Benutzer der Firma A ein anderes Suffix bekommen sollen als die der Firma B.

    Am besten geht dies über PowerShell. In meinem Beispiel filtere ich nach der Firma Musterfirma und möchte dafür den UPN contoso.net setzen.

    So könnte man nun das Active Directory nach und nach aufräumen und den Benutzern die richtige UPN verpassen.

    Ausgabe des Scripts zum Anpassen der UPN im Active Directory

    Natürlich kann das Script so geändert werden, dass die primäre SMTP-Mailadresse auf den UPN übertragen bzw. der UPN entsprechend angepasst wird.

    1 Kommentar

    Bild von kortex
    kortex sagt:
    5. August 2017 - 0:05

    Danke für das PS-Script zur Änderung der UPNs!