Windows-Server-2012
當使用者的 UPN 後綴在 Active Directory 中不受信任時會發生什麼
我在 AD 中有 1275 UPN 後綴。這是 Windows Server 2012 中允許的最大值。
$domain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain(); $domaindn = ($domain.GetDirectoryEntry()).distinguishedName; $upnDN = "cn=partitions,cn=configuration,$domaindn";
當我使用 ADAC 界面創建使用者時,我無法選擇帶有未在 ADDT UPN 後綴中列出的 UPN 後綴的 UPN。
但是,我可以使用帶有任何 UPN 後綴的 PowerShell 創建使用者。
$userDN = "cn=Users,$domaindn"; $userLogin = "user@foobar.com"; New-ADUser -AccountPassword (Read-Host -AsSecureString "Insert $userLogin Account Password") -DisplayName "" -EmailAddress $userLogin -Enabled $true -Name $userLogin -Path $userDN -PasswordNeverExpires $true -SAMAccountName $userLogin -UserPrincipalName $userLogin
這不會將 UPN 後綴添加為 AD 受信任。據我測試,使用者工作正常。
- 使用未在 AD 受信任的 UPN 後綴列表中列出 UPN 後綴的 UPN 創建使用者可能會產生什麼不良影響?
據我所知,“受信任的 UPN 列表”正是在創建新使用者時填充對話框的內容。通過 PowerShell 或其他 API 使用任何 UPN 創建的使用者沒有問題。
據我在使用 HMC/MPS 時的記憶,任何自定義 UPN(每個客戶都有一個或多個唯一 UPN)從未添加到“UPN 列表”中,這應該表明它支持創建使用者“不受信任的”UPN。