我在 AD 中有 1275 个 UPN 后缀。这是 Windows Server 2012 允许的最大值。
$domain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain();
$domaindn = ($domain.GetDirectoryEntry()).distinguishedName;
$upnDN = "cn=partitions,cn=configuration,$domaindn";
当我使用 ADAC 界面创建用户时,我无法选择具有未在 ADDT UPN 后缀中列出的 UPN 后缀的 UPN。
但是,我可以使用带有任何 UPN 后缀的 PowerShell 创建用户。
$userDN = "cn=Users,$domaindn";
$userLogin = "[email protected]";
New-ADUser -AccountPassword (Read-Host -AsSecureString "Insert $userLogin Account Password") -DisplayName "" -EmailAddress $userLogin -Enabled $true -Name $userLogin -Path $userDN -PasswordNeverExpires $true -SAMAccountName $userLogin -UserPrincipalName $userLogin
这不会将 UPN 后缀添加为 AD 信任。据我测试,用户工作正常。
- 如果使用 UPN 创建用户,而其 UPN 后缀未列在 AD 受信任的 UPN 后缀列表中,可能产生哪些不良影响?
答案1
据我所知,“受信任的 UPN 列表”只是在创建新用户时填充的对话框。通过 PowerShell 或其他 API 使用任何 UPN 创建的用户都没有问题。
据我使用 HMC/MPS 时的记忆,任何自定义 UPN(每个客户都有一个或多个唯一的 UPN)都是绝不添加到“UPN 列表”,这表明支持创建具有“不受信任”UPN 的用户。