New-ADUser -Name Długość za długa

13

Muszę dodać około 500 użytkowników do jednostki organizacyjnej w AD

Wypisałem wszystko, czego potrzebuję, jednak pojawia się błąd: the name provided is not a properly formed

Oto skrypt

New-ADUser -Name C080CAB1-9756-409F-914D-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Przeprowadziłem kilka testów, aby stwierdzić, na czym polega problem:

New-ADUser -Name "C080CAB1-9756-409F-914D-AE3971F67DE7" -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

New-ADUser -Name 'C080CAB1-9756-409F-914D-AE3971F67DE7' -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

New-ADUser -Name C080CAB1`-9756`-409F`-914D`-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Wraz z kilkoma innymi odmianami

Co zadziałało:

New-ADUser -Name C080CAB1-9756-409F -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Myślę, że może to być problem z długością, ale nie jestem pewien, jak uruchomić skrypt.

active-directory powershell windows-server-2012-r2 Anthony Fornito
źródło
1
Czy istnieje powód, dla którego używasz nazw podobnych do SID zamiast zwykłych nazw?
CIA,
Powodem tego, że nazwa użytkownika jest taka, jest to, że aplikacja wywołuje użytkowników z różnych jednostek organizacyjnych, a następnie uruchamia pulę aplikacji dla witryny jako ten użytkownik. Jest to środowisko reklamacyjne HIPPA, więc nazwy użytkowników nie powinny być łatwo rozróżniane. Jest to format nazwy użytkownika, który należy zastosować.
Anthony Fornito,
2
Aby zachować zgodność z wersją starszą niż 2000, masz 20 znaków. Nie jestem pewien, z jaką częścią HIPPA próbujesz się zastosować, ale jestem pewien, że dopóki nie zapewnisz pacjentowi dostępu do AD, nie ma potrzeby posiadania struktury nazewnictwa.
CIA,
20 znaków dla sAMAccountName . Potrzebujesz krótszej, długiej nazwy. Jeśli chcesz, możesz ustawić dłuższy opis i nazwę wyświetlaną.
Zoredache,
BTW, możesz prawie uciec z GUID reprezentowanym przez Base64. To byłoby ~ 24 znaków. Czy naprawdę potrzebujesz 128-bitowego unikalnego identyfikatora? Odetnij kilka bitów i zakoduj go we właściwy sposób, a zmieścisz go w polu 20.
Zoredache,

Odpowiedzi:

13

Czy chcesz wyświetlić nazwę dla tego ciągu 36 znaków, czy login musi być ciągiem 36 znaków?

Jeśli używasz serwera 2012 R2, możesz ustawić tylko wyświetlaną nazwę na 20 znaków, jednak nazwa logowania może wynosić do 64 znaków (myślę) za pomocą „-UserPrincipalName”

Spróbuj tego

New-ADUser -Name C080CAB1-9756-409F-9 -UserPrincipalName C080CAB1-9756-409F-914D-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Spowoduje to utworzenie nazwy wyświetlanej i obcięcie wartości -UserPrincipalName, która będzie nazwą użytkownika dla użytkownika.

Zobacz właściwości dowolnego użytkownika, aby ustawić odpowiednie flagi.

http://thenerdservice.com/useradd.png

Możesz zobaczyć, że logowanie przed 200 jest obcięte, jednak nazwa użytkownika nie jest

http://thenerdservice.com/userlogin.png

Brian Curless
źródło
Dzięki temu zaoszczędziłem mi tyle czasu. Fajna strona przy okazji wiele przydatnych narzędzi.
Anthony Fornito,
12

Limit 20 znaków dla sAMAccountName. Nie da się tego obejść. Zabawne jest to, że zarezerwowano dla niego 256 znaków (~ 120 Unicode), ale silnik usług katalogowych pozwala używać tylko 20 znaków.

Edycja: Pozwól mi być bardziej przejrzystym. Państwo może mieć nazwę, która przekracza 20 znaków, ale nie jest to sAMAccountName. To może pasować do twoich potrzeb. Pokażę:

New-ADUser C080CAB1-9756   # 20 character limit here

Rename-ADObject 'CN=C080CAB1-9756,CN=Users,DC=lab,DC=com

Get-ADUser C080CAB1-9756

DistinguishedName: CN=C080CAB1-9756-409F-914D-AE3971F67DE7,CN=Users,DC=lab,DC=com
Name             : C080CAB1-9756-409F-914D-AE3971F67DE7
SamAccountName   : C080CAB1-9756
DisplayName      :
Ryan Ries
źródło