Почему пользователь может зарегистрировать на пути больше чем один UPN?

Приведенные выше комментарии Райана и Джо точны. Похоже, ваши пользователи входят в систему со своими неявными UPN. Полное доменное имя вашего домена us.mycompany.local ?

В Active Directory у каждого пользователя есть два имени участника-пользователя:

1. явное имя участника-пользователя (eUPN): Это значение объекта пользователя атрибут userPrincipalName . Это может быть изменено на любое значение, независимо от каких-либо альтернативных суффиксов UPN, которые вы настроили в лесу.

2. Неявное UPN (iUPN): Оно создается путем объединения значения samAccountName пользовательского объекта. ] со значением FQDN домена. Полное доменное имя хранится как значение атрибута dnsRoot объекта crossRef домена, хранящегося в LDAP: // CN = DOMAIN_NETBIOS_NAME, CN = Partitions, CN = Configuration, DC = DOMAIN )

Хорхе де Алмейда Пинто, MVP DS, опубликовал серию сообщений, в которых подробно рассказывается:

• https://jorgequestforknowledge.wordpress.com/2010/10/12/user -principal-names-in-ad-part-1
• https://jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-2
• https: / /jorgequestforknowledge.wordpress.com/2010/10/12/user-principal-names-in-ad-part-3

EDIT 1:

Также стоит отметить, что eUPN «выигрывает» в случае конфликта . Например, рассмотрим следующий (хотя и нелепый) сценарий:

• Имя домена: example.com
• samAccountName пользователя1:user1@example.com

Если вы попытаетесь войти, используя имя пользователя user1@example.com, вы войдете в систему как Пользователь2 . Однако, если вы измените User2 userPrincipalName на любое другое, вы войдете в систему как User1 .

РЕДАКТИРОВАТЬ 2:

Дополнительная информация для MS: MSKB929272: Интерактивные стили входа в систему и поиск учетной записи в Центре распространения ключей в Windows Server 2003