Como faço para usar nomes longos para se referir a contas de serviço gerenciado de grupo (gMSA)?

Comumente, as contas de usuário de domínio são usadas como contas de serviço. Com as contas de usuário de domínio, o nome de usuário pode facilmente ter 64 caracteres, desde que o nome principal do usuário (UPN) seja usado para se referir à conta, por exemplo, [email protected] . Se você ainda usa os nomes anteriores ao Windows 2000 (SAM), você precisa truncá-lo para ~ 20 caracteres, por exemplo, mydomain\truncname .

Ao usar o cmdlet New-ADServiceAccount PowerShell para criar uma nova Conta de serviço gerenciado de grupo (gMSA) e um nome com mais de 15 caracteres é especificado, um erro é retornado. Para especificar um nome mais longo, o nome do SAM deve ser especificado separadamente, por exemplo:

New-ADServiceAccount -Name longname -SamAccountName truncname ...

Para configurar um serviço para ser executado como o novo gMSA, posso usar o formato de nome de usuário herdado mydomain\truncname$ , mas usar nomes de usuário com no máximo 15 caracteres em 2013 é um cheiro.

Como faço para me referir a um gMSA usando o formato de estilo UPN?

Eu tentei a abordagem longname$@domainfqdn , mas isso não funcionou. Também parece que o objeto gMSA no AD não possui um valor de atributo userPrincipalName especificado.