Benutzerprinzipalname (UPN) im Active Directory konfigurieren
Statt mit Domäne\Benutzername kann man sich mit dem Benutzerprinzipalname (User Principal Name, UPN) am Active Directory anmelden. Dafür verwendet man die Form benutzername@upnsuffix. Diese Anleitung zeigt, wie man den UPN an die Mail-Adresse anpasst.
Um eine saubere und fehlerfreie Anmeldung am System zu gewährleisten, ist es wichtig, dass der UPN und die primäre SMTP-Mailadresse identisch sind, da es ansonsten etwa beim Autodiscover in Outlook zu Schwierigkeiten kommen kann.
UPN-Suffixe auf einem Domänen Controller pflegen
Im Unterschied zum Namen der Domäne lassen sich UPN-Suffixe beliebig ändern, sie sind daher auch unabhängig von der Domäne. Auf diese Weise lassen sich beispielsweise mehrere Firmen unter eine AD-Domäne abbilden.
Öffnen Sie dazu die Active Directory-Domänen und -Vertrauensstellungen, klicken Sie in der Navigation mit der rechten Maustaste auf das Wurzelelement direkt oberhalb der Domäne und öffnen sie die Eigenschaften.
Im nun geöffneten Dialog können Sie nun neue UPN-Suffixe eintragen. In Active Directory-Benutzer und -Computer kann man dann für User diese neue UPN auswählen.
UPN in Outlook on the web (OWA) verwenden
Leider gibt es nur die Möglichkeit, jedem Benutzer immer nur einen Anmeldenamen zu geben. Das Login per Outlook on the Web (OWA) schaut dann unter Verwendung des UPN beispielsweise so aus:
Damit OWA diese Form der Anmeldung akzeptiert, muss man das virtuelle Verzeichnis des IIS entsprechend konfigurieren. Dies erfolgt in der Exchange Webkonsole (ECP) unter Server => Virtuelle Verzeichnisse => OWA.
Hier legt man für die formularbasierte Authentifizierung als Anmeldeformat den Benutzerprinzipalnamen fest.
Anschließend muss man den IIS einmal mit iisreset neu starten, damit die Änderungen übernommen werden.
Wie man mit dem ADSI Editor leicht herausfinden kann, wird der UPN beim Benutzer in das Attribut userPrincipalName geschrieben.
Das zeigt sich auch im Reiter Attribut-Editor von Active Directory-Benutzer und -Computer, wenn unter Ansicht die Erweiterten Features eingeschaltet sind.
Bulk-Änderung von UPNs mit PowerShell
Es stellt sich nun die Frage, wie man etwas größere Domänen pflegen kann, wenn etwa für verschiedene Firmen eigene UPNs verwendet werden, also zum Beispiel wenn Benutzer der Firma A ein anderes Suffix bekommen sollen als die der Firma B.
Am besten geht dies über PowerShell. In meinem Beispiel filtere ich nach der Firma Musterfirma und möchte dafür den UPN contoso.net setzen.
So könnte man nun das Active Directory nach und nach aufräumen und den Benutzern die richtige UPN verpassen.
Natürlich kann das Script so geändert werden, dass die primäre SMTP-Mailadresse auf den UPN übertragen bzw. der UPN entsprechend angepasst wird.
Ähnliche Beiträge
- Namen und Größe der Ordner im Exchange-Postfach anzeigen mit PowerShell
- Neue Kalenderfunktionen in Exchange 2019: Besprechungen entfernen, Integration mit Abwesenheitsassistent
- Räume in Exchange 2016 anlegen und ändern mit PowerShell
- Gruppenmitgliedschaft im Active Directory temporär zuweisen mit PowerShell-GUI
- Exchange-Organisation aus dem Active Directory entfernen
1 Kommentar
Danke für das PS-Script zur Änderung der UPNs!