windows-server-2012 – 当用户的UPN后缀在Active Directory中不受信任时会发生什么

我在AD中有1275 UPN后缀.这是 Windows Server 2012中允许的最大值.

$domain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain();
$domaindn = ($domain.GetDirectoryEntry()).distinguishedname;
$upnDN = "cn=partitions,cn=configuration,$domaindn";

当我使用ADAC接口创建用户时,我无法选择UPN后缀未列在ADDT UPN后缀中的UPN.

但是,我可以创建一个使用PowerShell和任何UPN后缀的用户.

$userDN = "cn=Users,$domaindn";
$userLogin = "user@foobar.com";
New-ADUser -AccountPassword  (Read-Host -Assecurestring "Insert $userLogin Account Password") -displayName "" -EmailAddress $userLogin -Enabled $true -Name $userLogin -Path $userDN -PasswordNeverExpires $true -SAMAccountName $userLogin -UserPrincipalName $userLogin

这不会将UPN后缀添加为AD信任.据我测试,用户工作正常.

>使用UPN创建的用户可能会产生什么不良影响,哪些UPN后缀未列在AD可信UPN后缀列表中？

据我所知,“可信UPN列表”就是在创建新用户时填充对话框的内容.使用任何UPN通过PowerShell或其他API创建的用户没有问题.

从我与HMC / MPS的日子相比,我记得任何自定义UPN(每个客户都有一个或多个唯一的UPN)从未被添加到“UPN列表”中,这应该表明支持创建用户“不可信任的”UPN.

windows-server-2012 – 当用户的UPN后缀在Active Directory中不受信任时会发生什么

相关文章