New-ADUser -Name Lunghezza troppo lunga

13

Devo aggiungere circa 500 utenti a un'unità organizzativa in AD

Ho scritto tutto ciò di cui ho bisogno, tuttavia dà l'errore: the name provided is not a properly formed

Ecco la sceneggiatura

New-ADUser -Name C080CAB1-9756-409F-914D-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Ho eseguito un test di coppia per confermare quale sia il problema:

New-ADUser -Name "C080CAB1-9756-409F-914D-AE3971F67DE7" -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

New-ADUser -Name 'C080CAB1-9756-409F-914D-AE3971F67DE7' -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

New-ADUser -Name C080CAB1`-9756`-409F`-914D`-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Insieme a un paio di altre varianti

Cosa ha funzionato:

New-ADUser -Name C080CAB1-9756-409F -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Quindi penso che potrebbe essere un problema lungo ma non sono sicuro di come far funzionare la sceneggiatura.

active-directory  powershell  windows-server-2012-r2 
Anthony Fornito
fonte
1
C'è un motivo per cui stai usando nomi simili a SID invece di nomi normali?
CIA,
Il motivo per cui il nome utente è così è perché l'applicazione chiama gli utenti da unità organizzative diverse e quindi esegue il pool di applicazioni per il sito come quell'utente. Questo è un ambiente di reclamo HIPPA, quindi i nomi utente non devono essere facilmente distinti. Questo è il formato del nome utente che deve essere utilizzato.
Anthony Fornito,
2
Per la compatibilità precedente al 2000, hai un limite di 20 caratteri. Non sono sicuro di quale parte dell'HIPPA stai cercando di rispettare, ma sono sicuro che, a meno che tu non stia dando l'accesso del paziente al tuo AD, non c'è bisogno della struttura di denominazione che hai.
CIA,
20 caratteri per sAMAccountName . Hai bisogno di un nome lungo più corto. Se lo desideri, puoi impostare una descrizione più lunga e visualizzare il nome.
Zoredache,
A proposito, potresti quasi cavartela con GUID rappresentato in Base64. Sarebbe ~ 24 caratteri. Hai davvero bisogno di un ID univoco a 128 bit? Taglia qualche bit e codificalo nel modo giusto e lo inserirai in un campo 20.
Zoredache,

Risposte:

13

Desideri visualizzare il nome in quella stringa di 36 caratteri o il login per essere la stringa di 36 caratteri

Se si utilizza il server 2012 R2 è possibile impostare solo il nome visualizzato su 20 caratteri, tuttavia il nome di accesso può essere fino a 64 caratteri (credo) utilizzando "-UserPrincipalName"

Prova questo

New-ADUser -Name C080CAB1-9756-409F-9 -UserPrincipalName C080CAB1-9756-409F-914D-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Ciò creerà il nome visualizzato e troncerà il valore di -UserPrincipalName che sarà il nome di accesso dell'utente per l'utente.

Vedi le proprietà di qualsiasi utente per impostare i flag appropriati.

http://thenerdservice.com/useradd.png

Si può vedere che il login pre-200 viene troncato ma il nome di login utente non lo è

http://thenerdservice.com/userlogin.png

Brian Curless
fonte
Grazie, mi ha fatto risparmiare così tanto tempo. Cool sito tra l'altro un sacco di strumenti utili.
Anthony Fornito,
12

Limite di 20 caratteri per sAMAccountName. Nessun vero modo per aggirare. La cosa divertente è che ci sono 256 caratteri (~ 120 Unicode) riservati, ma il motore di Directory Services ti consente di usarne solo 20.

Modifica: vorrei essere un po 'più chiaro. È possibile avere un nome che supera 20 caratteri, ma non un sAMAccountName. Potrebbe soddisfare le tue esigenze. Lasciami dimostrare:

New-ADUser C080CAB1-9756   # 20 character limit here

Rename-ADObject 'CN=C080CAB1-9756,CN=Users,DC=lab,DC=com

Get-ADUser C080CAB1-9756

DistinguishedName: CN=C080CAB1-9756-409F-914D-AE3971F67DE7,CN=Users,DC=lab,DC=com
Name             : C080CAB1-9756-409F-914D-AE3971F67DE7
SamAccountName   : C080CAB1-9756
DisplayName      :
Ryan Ries
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.