當使用者的 UPN 後綴在 Active Directory 中不受信任時會發生什麼

我在 AD 中有 1275 UPN 後綴。這是 Windows Server 2012 中允許的最大值。

$domain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain();
$domaindn = ($domain.GetDirectoryEntry()).distinguishedName;
$upnDN = "cn=partitions,cn=configuration,$domaindn";

當我使用 ADAC 界面創建使用者時，我無法選擇帶有未在 ADDT UPN 後綴中列出的 UPN 後綴的 UPN。

但是，我可以使用帶有任何 UPN 後綴的 PowerShell 創建使用者。

$userDN = "cn=Users,$domaindn";
$userLogin = "user@foobar.com";
New-ADUser -AccountPassword  (Read-Host -AsSecureString "Insert $userLogin Account Password") -DisplayName "" -EmailAddress $userLogin -Enabled $true -Name $userLogin -Path $userDN -PasswordNeverExpires $true -SAMAccountName $userLogin -UserPrincipalName $userLogin

這不會將 UPN 後綴添加為 AD 受信任。據我測試，使用者工作正常。

• 使用未在 AD 受信任的 UPN 後綴列表中列出 UPN 後綴的 UPN 創建使用者可能會產生什麼不良影響？

據我所知，“受信任的 UPN 列表”正是在創建新使用者時填充對話框的內容。通過 PowerShell 或其他 API 使用任何 UPN 創建的使用者沒有問題。

據我在使用 HMC/MPS 時的記憶，任何自定義 UPN（每個客戶都有一個或多個唯一 UPN）從未添加到“UPN 列表”中，這應該表明它支持創建使用者“不受信任的”UPN。

引用自：https://serverfault.com/questions/569628