New-ADUser -Name Longueur trop longue

13

J'ai besoin d'ajouter environ 500 utilisateurs à une unité d'organisation dans AD

J'ai écrit tout ce dont j'ai besoin, cependant, cela donne l'erreur: the name provided is not a properly formed

Voici le script

New-ADUser -Name C080CAB1-9756-409F-914D-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

J'ai effectué un test en couple pour définir le problème:

New-ADUser -Name "C080CAB1-9756-409F-914D-AE3971F67DE7" -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

New-ADUser -Name 'C080CAB1-9756-409F-914D-AE3971F67DE7' -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

New-ADUser -Name C080CAB1`-9756`-409F`-914D`-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Avec quelques autres variantes

Qu'est-ce qui a fonctionné:

New-ADUser -Name C080CAB1-9756-409F -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Je pense donc que cela peut être un problème de longueur, mais je ne sais pas comment faire fonctionner le script.

active-directory powershell windows-server-2012-r2 Anthony Fornito
la source
1
Y a-t-il une raison pour laquelle vous utilisez des noms de type SID au lieu de noms réguliers?
CIA du
La raison pour laquelle le nom d'utilisateur est ainsi est que l'application appelle les utilisateurs de différentes unités d'organisation et exécute ensuite le pool d'applications pour le site en tant qu'utilisateur. Il s'agit d'un environnement de réclamation HIPPA, de sorte que les noms d'utilisateur ne doivent pas être facilement distingués. C'est le format de nom d'utilisateur qui doit être utilisé.
Anthony Fornito du
2
Pour la compatibilité avant 2000, vous êtes limité à 20 caractères. Je ne sais pas à quelle partie de la HIPPA vous essayez de vous conformer, mais je suis sûr qu'à moins que vous ne donniez l'accès du patient à votre MA, il n'y a pas besoin de la structure de nommage que vous avez.
CIA
20 caractères pour sAMAccountName . Vous avez besoin d'un nom long plus court. Vous pouvez définir une description et un nom d'affichage plus longs si vous le souhaitez.
Zoredache
BTW, vous pourriez presque vous en tirer avec le GUID représenté en Base64. Ce serait ~ 24 caractères. Avez-vous vraiment besoin d'un identifiant unique de 128 bits? Coupez quelques bits, et codez-le de la bonne façon et vous l'ajustez dans un champ de 20.
Zoredache

Réponses:

13

Voulez-vous afficher le nom de cette chaîne de 36 caractères ou la connexion pour être la chaîne de 36 caractères

Si vous utilisez le serveur 2012 R2, vous pouvez uniquement définir le nom d'affichage à 20 caractères, mais le nom de connexion peut atteindre 64 caractères (je pense) en utilisant "-UserPrincipalName"

Essaye ça

New-ADUser -Name C080CAB1-9756-409F-9 -UserPrincipalName C080CAB1-9756-409F-914D-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true

Cela créera le nom d'affichage et tronquera la valeur de -UserPrincipalName qui sera le nom de connexion de l'utilisateur.

Voir les propriétés de tout utilisateur pour définir les indicateurs appropriés.

http://thenerdservice.com/useradd.png

Vous pouvez voir que la connexion antérieure à 200 est tronquée, mais le nom de connexion utilisateur n'est pas

http://thenerdservice.com/userlogin.png

Brian Curless
la source
Merci, cela m'a fait gagner beaucoup de temps. Site sympa à propos de nombreux outils utiles.
Anthony Fornito
12

Limite de 20 caractères pour sAMAccountName. Pas vraiment de solution. Ce qui est amusant, c'est qu'il y a 256 caractères (~ 120 Unicode) réservés, mais le moteur des services d'annuaire ne vous permet d'utiliser que 20.

Edit: Permettez-moi d'être un peu plus clair. Vous pouvez avoir un nom qui dépasse 20 caractères, mais pas un sAMAccountName. Cela peut convenir à vos besoins. Permettez-moi de démontrer:

New-ADUser C080CAB1-9756   # 20 character limit here

Rename-ADObject 'CN=C080CAB1-9756,CN=Users,DC=lab,DC=com

Get-ADUser C080CAB1-9756

DistinguishedName: CN=C080CAB1-9756-409F-914D-AE3971F67DE7,CN=Users,DC=lab,DC=com
Name             : C080CAB1-9756-409F-914D-AE3971F67DE7
SamAccountName   : C080CAB1-9756
DisplayName      :
Ryan Ries
la source