Benutzerprinzipalname (UPN) im Active Directory konfigurieren

Statt mit Domäne\Benutzer­name kann man sich mit dem Benutzer­prinzipal­name (User Principal Name, UPN) am Active Direc­tory an­mel­den. Dafür ver­wendet man die Form benutzer­name@upnsuffix. Diese Anlei­tung zeigt, wie man den UPN an die Mail-Adresse anpasst.

Um eine saubere und fehlerfreie Anmeldung am System zu gewährleisten, ist es wichtig, dass der UPN und die primäre SMTP-Mailadresse identisch sind, da es ansonsten etwa beim Autodiscover in Outlook zu Schwierigkeiten kommen kann.

UPN-Suffixe auf einem Domänen Controller pflegen

Im Unterschied zum Namen der Domäne lassen sich UPN-Suffixe beliebig ändern, sie sind daher auch unabhängig von der Domäne. Auf diese Weise lassen sich beispielsweise mehrere Firmen unter eine AD-Domäne abbilden.

Öffnen Sie dazu die Active Directory-Domänen und -Vertrauensstellungen, klicken Sie in der Navigation mit der rechten Maustaste auf das Wurzelelement direkt oberhalb der Domäne und öffnen sie die Eigenschaften.

Im nun geöffneten Dialog können Sie nun neue UPN-Suffixe eintragen. In Active Directory-Benutzer und -Computer kann man dann für User diese neue UPN auswählen.

UPN in Outlook on the web (OWA) verwenden

Leider gibt es nur die Möglichkeit, jedem Benutzer immer nur einen Anmeldenamen zu geben. Das Login per Outlook on the Web (OWA) schaut dann unter Verwendung des UPN beispielsweise so aus:

Damit OWA diese Form der Anmeldung akzeptiert, muss man das virtuelle Verzeichnis des IIS entsprechend konfigurieren. Dies erfolgt in der Exchange Webkonsole (ECP) unter Server => Virtuelle Verzeichnisse => OWA.

Hier legt man für die formular­basierte Authenti­fizierung als Anmelde­format den Benutzer­prinzipal­namen fest.

Anschließend muss man den IIS einmal mit iisreset neu starten, damit die Änderungen über­nommen werden.

Wie man mit dem ADSI Editor leicht herausfinden kann, wird der UPN beim Benutzer in das Attribut userPrincipalName geschrieben.

Das zeigt sich auch im Reiter Attribut-Editor von Active Directory-Benutzer und -Computer, wenn unter Ansicht die Erweiterten Features eingeschaltet sind.

Bulk-Änderung von UPNs mit PowerShell

Es stellt sich nun die Frage, wie man etwas größere Domänen pflegen kann, wenn etwa für verschiedene Firmen eigene UPNs verwendet werden, also zum Beispiel wenn Benutzer der Firma A ein anderes Suffix bekommen sollen als die der Firma B.

Am besten geht dies über PowerShell. In meinem Beispiel filtere ich nach der Firma Musterfirma und möchte dafür den UPN contoso.net setzen.

foreach ($user in get-aduser -filter "company -eq 'Musterfirma'") { write-host processing $user.samaccountname -nonewline [string]$sam = $user.samaccountname [string]$upn = "$sam@contoso.net" if($user.UserPrincipalName -eq $upn){ write-host " UPN bereits ok:$upn" -background green -foreground black } else { set-aduser -identity $sam -UserPrincipalName $upn write-host " UPN wurde angepasst:$upn" -backgroundcolor green } }

So könnte man nun das Active Directory nach und nach aufräumen und den Benutzern die richtige UPN verpassen.

Natürlich kann das Script so geändert werden, dass die primäre SMTP-Mailadresse auf den UPN übertragen bzw. der UPN entsprechend angepasst wird.

foreach ($user in get-aduser -filter "mail -like '*contoso.net'") { write-host processing $user.samaccountname -nonewline [string]$sam = $user.samaccountname [string]$upn = "$sam@contoso.net" if ($user.UserPrincipalName -eq $upn){ write-host " UPN bereits ok: $upn" -background green -foreground black } else { set-aduser -identity $sam -UserPrincipalName $upn write-host " UPN wurde angepasst:$upn" -backgroundcolor green } }