Do ponto de vista do AD, há poucos caracteres que não são permitidos para grupos / nomes principais de segurança. Em particular, o símbolo @ é permitido. Os caracteres não permitidos incluem:
um espaço principal; um espaço à direita; e qualquer um dos seguintes caracteres:
# , + " \ < > ;
No entanto, se você quiser que o nome "Pre-Windows 2000" corresponda ao CN, você não poderá usar:
/ \ [ ] : ; | = , + * ? < > "
Observe que, na prática, o AD permite criar grupos com o símbolo de hash (#). Observe também que o atributo "samAccountName" é o nome "Pre-Windows 2000", portanto, a maioria das pessoas manteria essa lista de caracteres não permitidos.
Mais informações:
Nomes de objetos do Active Directory
link