New-ADUser -Tên chiều dài quá dài

13

Tôi cần thêm khoảng 500 người dùng vào OU trong AD

Tôi đã viết kịch bản mọi thứ tôi cần, tuy nhiên, nó đưa ra lỗi: the name provided is not a properly formed

Đây là kịch bản

New-ADUser -Name C080CAB1-9756-409F-914D-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Tôi đã chạy thử nghiệm đôi để xác nhận vấn đề là gì:

New-ADUser -Name "C080CAB1-9756-409F-914D-AE3971F67DE7" -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

New-ADUser -Name 'C080CAB1-9756-409F-914D-AE3971F67DE7' -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

New-ADUser -Name C080CAB1`-9756`-409F`-914D`-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Cùng với một vài biến thể khác

Đã làm gì

New-ADUser -Name C080CAB1-9756-409F -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Vì vậy, tôi nghĩ rằng nó có thể là một vấn đề độ dài nhưng tôi không chắc làm thế nào để kịch bản hoạt động.

active-directory  powershell  windows-server-2012-r2 
Anthony Fornito
nguồn
1
Có lý do gì bạn sử dụng cách đặt tên giống SID thay vì tên thông thường không?
CIA
Lý do tên người dùng giống như vậy là vì ứng dụng gọi người dùng từ các OU khác nhau và sau đó chạy nhóm ứng dụng cho trang web với tư cách là người dùng đó. Đây là môi trường khiếu nại của HIPPA vì vậy không nên dễ dàng phân biệt tên người dùng. Đó là định dạng tên người dùng phải được sử dụng.
Anthony Fornito
2
Để tương thích trước năm 2000, bạn bị giới hạn ở 20 ký tự. Tôi không chắc phần nào của HIPPA mà bạn đang cố tuân thủ, nhưng tôi chắc chắn trừ khi bạn cho phép bệnh nhân truy cập vào AD của bạn, không cần cấu trúc đặt tên mà bạn có.
CIA
20 ký tự cho sAMAccountName . Bạn cần một cái tên dài ngắn hơn. Bạn có thể đặt một mô tả dài hơn và tên hiển thị nếu bạn muốn.
Zoredache
BTW bạn gần như có thể thoát khỏi với GUID được đại diện cho Base64. Đó sẽ là ~ 24 ký tự. Bạn có thực sự cần một ID duy nhất 128 bit không? Cắt bỏ một vài bit, và mã hóa nó đúng cách và bạn phù hợp với nó trong một trường 20.
Zoredache

Câu trả lời:

13

Bạn có muốn hiển thị tên cho chuỗi 36 char đó hoặc đăng nhập thành chuỗi 36 char

Nếu bạn đang sử dụng máy chủ 2012 R2, bạn chỉ có thể đặt tên hiển thị thành 20 char, tuy nhiên tên đăng nhập có thể lên tới 64 char (tôi nghĩ) bằng cách sử dụng "-UserPrincipalName"

Thử đi

New-ADUser -Name C080CAB1-9756-409F-9 -UserPrincipalName C080CAB1-9756-409F-914D-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Điều này sẽ tạo tên hiển thị và cắt bớt giá trị của -UserPrincipalName sẽ là tên đăng nhập người dùng cho người dùng.

Xem các thuộc tính của bất kỳ người dùng để đặt cờ thích hợp.

http://thenerdservice.com/useradd.png

Bạn có thể thấy rằng đăng nhập trước 200 bị cắt bớt tuy nhiên Tên đăng nhập của Người dùng không

http://thenerdservice.com/userlogin.png

Brian Curless
nguồn
Cảm ơn điều này đã tiết kiệm cho tôi rất nhiều thời gian. Trang web mát mẻ bằng cách rất nhiều công cụ hữu ích.
Anthony Fornito
12

Giới hạn 20 ký tự cho sAMAccountName. Không có cách thực sự xung quanh nó. Điều thú vị là có 256 ký tự (~ 120 Unicode) dành riêng cho nó, nhưng công cụ Dịch vụ thư mục chỉ cho phép bạn sử dụng 20 ký tự.

Chỉnh sửa: Hãy để tôi rõ hơn một chút. Bạn có thể có Tên vượt quá 20 ký tự, nhưng không phải là sAMAccountName. Điều đó có thể phù hợp với nhu cầu của bạn. Hãy để tôi chứng minh:

New-ADUser C080CAB1-9756   # 20 character limit here

Rename-ADObject 'CN=C080CAB1-9756,CN=Users,DC=lab,DC=com

Get-ADUser C080CAB1-9756

DistinguishedName: CN=C080CAB1-9756-409F-914D-AE3971F67DE7,CN=Users,DC=lab,DC=com
Name             : C080CAB1-9756-409F-914D-AE3971F67DE7
SamAccountName   : C080CAB1-9756
DisplayName      :
Ryan Ries
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.