New-ADUser -Name Länge zu lang

13

Ich muss einer Organisationseinheit in AD ungefähr 500 Benutzer hinzufügen

Ich habe alles geschrieben, was ich brauche, aber es gibt den Fehler: the name provided is not a properly formed

Hier ist das Drehbuch

New-ADUser -Name C080CAB1-9756-409F-914D-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Ich habe ein paar Tests durchgeführt, um das Problem zu klären:

New-ADUser -Name "C080CAB1-9756-409F-914D-AE3971F67DE7" -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

New-ADUser -Name 'C080CAB1-9756-409F-914D-AE3971F67DE7' -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

New-ADUser -Name C080CAB1`-9756`-409F`-914D`-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Zusammen mit ein paar anderen Variationen

Was hat funktioniert:

New-ADUser -Name C080CAB1-9756-409F -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Ich denke, es ist vielleicht eine Frage der Länge, aber ich bin nicht sicher, wie ich das Skript zum Laufen bringen soll.

active-directory powershell windows-server-2012-r2 Anthony Fornito
quelle
1
Gibt es einen Grund, warum Sie SID-ähnliche Namen anstelle von regulären Namen verwenden?
CIA
Der Grund für diesen Benutzernamen ist, dass die Anwendung die Benutzer von verschiedenen Organisationseinheiten aufruft und dann den Anwendungspool für die Site als dieser Benutzer ausführt. Dies ist eine Umgebung für HIPPA-Beschwerden, daher sollten die Benutzernamen nicht leicht zu unterscheiden sein. Das ist das Benutzername-Format, das verwendet werden muss.
Anthony Fornito
2
Aus Gründen der Pre-2000-Kompatibilität sind Sie auf 20 Zeichen beschränkt. Ich bin nicht sicher, welchen Teil von HIPPA Sie einhalten möchten, aber ich bin sicher, dass Sie keine Namensstruktur benötigen, es sei denn, Sie geben dem Patienten Zugriff auf Ihre AD.
CIA
20 Zeichen für sAMAccountName . Sie benötigen einen kürzeren langen Namen. Sie können bei Bedarf eine längere Beschreibung und einen längeren Anzeigenamen festlegen.
Zoredache
Übrigens, Sie könnten fast mit der in Base64 dargestellten GUID davonkommen. Das wären ~ 24 Zeichen. Benötigen Sie wirklich eine eindeutige 128-Bit-ID? Hacken Sie ein paar Bits ab und kodieren Sie es richtig, und Sie passen es in ein Feld 20.
Zoredache

Antworten:

13

Möchten Sie den Namen dieser Zeichenfolge mit 36 ​​Zeichen anzeigen oder den Anmeldenamen der Zeichenfolge mit 36 ​​Zeichen

Wenn Sie Server 2012 R2 verwenden, können Sie den Anzeigenamen nur auf 20 Zeichen setzen, der Anmeldename kann jedoch (glaube ich) bis zu 64 Zeichen lang sein, wenn Sie "-UserPrincipalName" verwenden.

Versuche dies

New-ADUser -Name C080CAB1-9756-409F-9 -UserPrincipalName C080CAB1-9756-409F-914D-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Dadurch wird der Anzeigename erstellt und der Wert von -UserPrincipalName abgeschnitten, der der Benutzeranmeldename für den Benutzer ist.

In den Eigenschaften eines Benutzers können Sie die entsprechenden Flags festlegen.

http://thenerdservice.com/useradd.png

Sie können sehen, dass die Anmeldung vor 200 abgeschnitten ist, der Benutzer-Anmeldename jedoch nicht

http://thenerdservice.com/userlogin.png

Brian Curless
quelle
Danke, das hat mir so viel Zeit gespart. Coole Seite übrigens viele nützliche Tools.
Anthony Fornito
12

Maximal 20 Zeichen für sAMAccountName. Kein wirklicher Weg daran vorbei. Es ist lustig, dass 256 Zeichen (~ 120 Unicode) dafür reserviert sind, aber die Directory Services-Engine lässt Sie nur 20 verwenden.

Edit: Lassen Sie mich etwas klarer sein. Sie können einen Namen mit mehr als 20 Zeichen verwenden, jedoch keinen sAMAccountName. Das könnte Ihren Bedürfnissen entsprechen. Lassen Sie mich demonstrieren:

New-ADUser C080CAB1-9756   # 20 character limit here

Rename-ADObject 'CN=C080CAB1-9756,CN=Users,DC=lab,DC=com

Get-ADUser C080CAB1-9756

DistinguishedName: CN=C080CAB1-9756-409F-914D-AE3971F67DE7,CN=Users,DC=lab,DC=com
Name             : C080CAB1-9756-409F-914D-AE3971F67DE7
SamAccountName   : C080CAB1-9756
DisplayName      :
Ryan Ries
quelle