Definir Sufixo UPN Padrão para Criar Novos Usuários no Active Directory

Não há nenhum mecanismo documentado que eu saiba para alterar o sufixo UPN padrão escolhido pelos Usuários e Computadores do Active Directory. Eu acredito que a ferramenta é hard-wired para obter a primeira parte do atributo "canonicalName" definido no objeto "crossRef" para o domínio especificado em "CN = Partitions, CN = Configuration, ..." em sua floresta. / p>

Os usuários e computadores de anúncios costumam ter uma conexão física para fazer isso. Se você criar contas de usuário usando outros meios ("NET USER ... / add", por exemplo), nenhum atributo userPrincipalName será atribuído à conta. O sufixo UPN padrão é, na verdade, apenas um padrão em Usuários e Computadores do AD, e não um padrão do próprio serviço de diretório.

Se você entrar no artigo da Base de Dados de Conhecimento da Microsoft com um script que mostre como obter programaticamente o sufixo UPN padrão ( link ), lembre-se de que o script possui alguns erros de sintaxe (as linhas 17 e 32 estão mal formadas e srrNamingContext na linha 32 deve ser strNamingContext). Vou incluir uma versão fixa com uma pequena melhoria no final deste post (mostra os nomes das UOs individuais onde os sufixos UPN adicionais podem ser definidos).

Adoraria ser corrigido por alguém mais "no conhecimento" do que eu, mas não estou vendo nenhuma maneira de fazer com que os usuários e computadores do AD atuem de maneira diferente.

' --- Get the naming contexts ----
Set RootDSE = GetObject("LDAP://RootDSE")
strNamingContext = RootDSE.Get("defaultNamingContext")
strConfigContext = RootDSE.Get("configurationNamingContext")

' -- Get the current domain name --
Set oDomain = GetObject("LDAP://" + strNamingContext)
strDomainName = oDomain.Get("name")

Set oPartition = GetObject("LDAP://CN=Partitions," & strConfigContext)

'-- Get the DNS name of the domain --
oDomain.GetInfoEx Array("canonicalName"), 0
strCanonical = oDomain.Get("canonicalName")
strDNSName = Left(strCanonical, Len(strCanonical) - 1) 'clip off "/"

'-- Display the default UPN suffix
wscript.echo strDNSName

'-- Get the defined upnSuffixes --
suffixes = oPartition.GetEx("UPNSuffixes")
For Each upnSuffix In suffixes
  wscript.echo upnSuffix
Next
Set RootDSE = Nothing
Set oDomain =Nothing
Set oPartition = Nothing

' -- Get the upnsuffixes defined on organizational units --
Set ADOconn = CreateObject("ADODB.Connection")
Set ADOcom = CreateObject("ADODB.Command")

ADOconn.Provider = "ADsDSOObject"
bstrADOQueryString = "<LDAP://" + strNamingContext + ">;(objectcategory=organizationalUnit);upnsuffixes,ADsPath;subtree"
wscript.echo bstrADOQueryString 
ADOconn.Open
ADOcom.ActiveConnection = ADOconn

ADOcom.CommandText = bstrADOQueryString
ADOcom.Properties("Page Size") = 99

Set objRS = ADOcom.Execute

While Not objRS.EOF
   If Not IsNull(objRS.Fields("upnSuffixes")) Then
    upnsuffixes = objRS.Fields("upnSuffixes")
    For Each upnsuffix In upnsuffixes
        wscript.echo objRS.Fields("adsPath") & " - Suffix: " & upnsuffix
    Next
   End If

   objRS.MoveNext
Wend

Set objRS = Nothing
Set ADOcom = Nothing
Set ADOconn = Nothing

Isso não pode ser feito até onde eu saiba (a resposta de Evan ainda é verdadeira 4 anos depois).

Dito isso, escrevi um script que é executado no agendador de tarefas a cada poucas horas em mais de um cliente. Ele procura um sufixo específico (o padrão na maioria dos casos) e alterna para outro. O script é no meu blog , mas vou postar aqui como bem:)

Import-Module ActiveDirectory


Get-ADUser -Filter {UserPrincipalName -like "*@ad.example.com"} -SearchBase "OU=SomeUserOu,DC=ad,DC=example,DC=com" |
ForEach-Object {
    $UPN = $_.UserPrincipalName.Replace("ad.example.com","example.com")
    Set-ADUser $_ -UserPrincipalName $UPN
}

Nesse caso, os usuários criados com um sufixo ad.example.com UPN serão atualizados com o sufixo example.com .

Você pode definir os Sufixos UPN permitidos, entrando em ADSIEDIT.MSC, conecte-se à Estrutura da UO, clique com o botão direito na UO (na configuração padrão) e edite os Atributos da UO. O atributo da OU a ser editado é UPNSuffixes. Isso não afeta, no entanto, o UPN padrão atribuído a um usuário criado nessa unidade organizacional. Adicione o Sufixo UPN desejado a esta lista. Em seguida, crie um usuário de modelo para Copiar. Clique com o botão direito do mouse na OU, crie um novo usuário para usar como modelo, atribua o Sufixo UPN correto e clique com o botão direito do mouse no usuário, uma vez criado e desabilite a conta. Para criar um novo usuário, clique com o botão direito do mouse no usuário do modelo e copie-o .. preencha os campos selecionados e o novo usuário será criado com o UPN adequado. Crie vários usuários de modelo para os diferentes UPNS. Ou, em caso de dúvida, mude para o powershell.

Na verdade, você pode executar no Módulo do Active Directory para o Powershell: Set-ADOrganizationalUnit "OU = XXX, DC = Domínio, DC = com" -Add @ {upnsuffixes="@ UPNSuffix.com".

Ou você pode usar um "Get-adorganizationalUnit" com um switch -Filter e canalizar isso para um 'Set-ADOrganizationalUnit -Add @ {upnsuffixes="@ UPNSuffix.com"'

Eu encontrei isso depois de procurar por um bom tempo, então espero que isso ajude alguém.

Este artigo da technet descreve como adicionar ou remover sufixos UPN no seu domínio:

link

Também há uma discussão sobre isso aqui:

link

Eu não posso garantir isso pessoalmente, pois nunca tive que fazer isso, mas uma coisa me vem à mente. Se você for fazer isso, precisará ter em mente que, embora o AD funcione corretamente, o mesmo pode não ser o caso de qualquer software de terceiros que você tenha, o que pode assumir que o sufixo UPN é sempre o padrão. . Considere as consequências cuidadosamente antes de fazer a mudança, em outras palavras.