如何使用长名称来引用组托管服务帐户 (gMSA)?

如何使用长名称来引用组托管服务帐户 (gMSA)?

通常,域用户帐户用作服务帐户。对于域用户帐户,只要使用用户主体名称 (UPN) 来引用帐户,用户名很容易就长达 64 个字符,例如[email protected]。如果您仍然使用旧的 Windows 2000 之前的名称 (SAM),则必须将其截断为约 20 个字符,例如mydomain\truncname

New-ADServiceAccount使用PowerShell cmdlet 创建新的组托管服务帐户 (gMSA) 并指定长度超过 15 个字符的名称时,会返回错误。要指定更长的名称,必须单独指定 SAM 名称,例如:

New-ADServiceAccount -Name longname -SamAccountName truncname ...

要配置服务以作为新的 gMSA 运行,我可以使用旧的用户名格式mydomain\truncname$,但在 2013 年使用最多 15 个字符的用户名是有问题的。

我如何使用 UPN 样式格式来引用 gMSA?

我尝试了这种longname$@domainfqdn方法,但没有奏效。AD 中的 gMSA 对象似乎也没有指定 userPrincipalName 属性值。

答案1

通常域用户帐户被用作服务帐户。

是也不是。域用户帐户通常用作服务登录账户。用户帐户的这种具体用途与托管服务帐户


无论如何,托管服务帐户对象类确实有一个 userPrincipalName,但是当您创建新的托管服务帐户时它似乎不会默认填充。

New-ADServiceAccountcmdlet 接受一个名为的参数,OtherAttributes该参数允许您通过 LDAP 显示名称设置帐户属性:

New-ADServiceAccount -Name longName -sAMAccountName truncname -OtherAttributes @{'userPrincipalName'="[email protected]"}

相关内容