Основные имена субъектов безопасности

Механизм основных имен (Security principal name, SPN) реализует способ именования объектов каталога, рассматриваемых подсистемой безопасности Windows Server 2003 в качестве своих субъектов. Основное имя субъекта системы безопасности определяется в качестве одного из атрибутов объекта каталога и имеет следующий формат: <имя_субъекта>@<суффикс_основного_имени>
В качестве суффикса основного имени может выступать DNS-имя текущего или корневого домена. Возможно также применение альтернативных суффиксов, например, lex@ayan.ru или kaizer@khsu. Используемый для образования основного имени суффикс должен удовлетворять правилам построения доменных имен.
Применительно к объектам, ассоциированным с пользователями, следует говорить об основном имени пользователя (User Principal Name, UPN). Основное имя позволяет упростить процесс регистрации пользователей в сети на компьютерах, принадлежащих к различным доменам. Основное имя уникально в пределах леса доменов, поэтому для регистрации от пользователя не требуется указания домена, к которому он принадлежит. Ниже приводится пример основного имени пользователя: lex@ayan.ru
Другой плюс использования основных имен для идентификации объектов заключается в том, что основное имя никоим образом не связано с его отличительным именем. Вследствие этого основное имя не меняется даже в случае перемещения объекта в рамках каталога.