Суфікси контролю UPN в Active Directory

У цій статті ми розглянемо, що це таке Вгору (Userprincipalname) Суфікси в Active Directory, як додати додаткові суфікси в рекламному лісі та призначити/змінити суфікс UPN на Active Directory на графічну консоль та PowerShell.

Userprincipalname (UPN) - Це ім'я для введення користувача у форматі адреси електронної пошти, наприклад [email protected] (Назва UPN не повинна відповідати електронній адресі користувача). У цьому прикладі Кбулдогов Це ім'я користувача в доменній рекламі (ім'я входу користувача), Консозо.Com - Суфікс UPN. Між ними знаходиться поділ @ .

За замовчуванням Active Directory як UPN суфікса використовує ім'я DNS вашого доменного оголошення. Наприклад, користувач userPrincipalName у домені WinitPro.Місцеве виглядає так: Ім'я користувача@winitpro.Місцевий.

Не плутайте userprincipalname з SamaccountName, який зараз є Legacy Ad, яка залишалася ще з старих часів.

Якщо ваш внутрішній AD DS використовує негрійне доменне ім’я (наприклад, домен.Локальний), ви не можете перевірити такий домен в Azure (Microsoft 365). Щоб налаштувати синхронізацію з Azure, вам доведеться перейменувати домен AD (не завжди можливо) або (набагато простіше) додати додаткові (альтернативні) суфікси UPN у своєму оголошенні.

Додайте додатковий суфікс UPN до Active Directory

В Active Directory ви можете додати додаткові (альтернативні) суфікси UPN, використовуючи домени Active Directory та Trusts Graphic Consoles або через PowerShell.

Відкрийте консоль PowerShell та виконайте команду Get-Dferest з модуля AD PowerShell. Наступна команда відкликає всі суфікси APN у лісі:

Отримати розіграш | Формат-список Upnsuffixes

Якщо список порожній, то ви використовуєте суфікс UPN за замовчуванням, що відповідає імені домену DNS.

Щоб додати додатковий суфікс UPN (наприклад, WinitPro.ru), виконайте команду:

Отримати розіграш | Set -dforest -upnsufixes @add = "winitpro.ru "

Перевірте, чи з’явився суфікс у Upnsuffix:

Отримати розіграш | Формат-список Upnsuffixes

Ви можете додати кілька унікальних суфіксів UPN. Зазвичай це використовується, якщо у вас є користувачі різних організацій (брендів) у вашому домені, і ви хочете використовувати для них різні суфікси UPN.

1. Ви також можете додати суфікс UPN через консоль AДомени та довіри каталогів Ctive:
2. Відкрийте консоль Домен.MSC ;
3. Відкриті властивості Домени та довіри Active Directory:
4. Додайте в поле новий суфікс Альтернативні суфікси UPN та натисніть Додавання.

Як змінити userprincipalname від користувачів Active Directory?

Поточне значення користувача користувача може відображатися за допомогою команди Get-Duser:

DH Ви можете встановити новий суфікс UPN для своїх користувачів. Найпростіший варіант - змінити ім'я користувача у властивостях користувача на консолі ADUC ( DSA.MSC ).

Як бачите, усі суфікси домену UPN доступні у списку падіння. Виберіть правильний і натисніть кнопку ОК.

Зверніть увагу, що в цій формі userprincipalname, як би це було, складається з двох частин - користувача та суфікса UPN. Але насправді значення userprincipalname зберігається в одному атрибутному оголошенні.

Коли вам потрібно відразу змінити UPN на кілька користувачів, ви можете вибрати

Кілька користувачів на консолі ADUC та Press Properties. Перейдіть на вкладку облікового запису, і ви можете змінити суфікс UPN відразу для всіх користувачів (якщо вам потрібно зібрати плоский список користувачів з різних OUS, використовуйте збережені запити на консолі ADUC).

Набагато простіше використовувати PowerShell, щоб змінити суфікс UPN.

Щоб змінити суфікс UPN на одного користувача, використовуйте команду Set-Duser з параметром UserPrincipAlName

Встановити -aduser kbuldogov -userprincipalname [email protected]

Наступний сценарій PowerShell дозволить вам знайти у зазначених Усі користувачі з певним суфіксом UPN та змінити ім'я користувача PrincipalName на нове.

Get -duser -filter userprincipalname -like "*@ресурс.Loc " -SearchBase" OU = користувачі, u = spb, u = ru, dc = ресурс, dc = loc "|
Foreach -Object
$ Upn = $ _.Userprincipalname.Замінити ("Ресурс.Loc "," winitpro.ru ")
Встановити -aduser $ _ -userprincipalname $ upn -verbose


Наступна команда PowerShell дозволить вам знайти користувачів, яких userprincipalname не наведено:

Get -duser -ldapfilter "(!(Userprincipalname =*)) "| Виберіть DistringName

Різні проблеми з атрибутами користувача, включаючи userPrincipalName, можуть допомогти знайти утиліту IDFIX, яку Microsoft рекомендує використовувати локальний активний каталог перед синхронізацією в Azure за допомогою Azure AD Connect.

Якщо ви створюєте нового користувача, ви можете вибрати потрібний суфікс UPN замість імені DNS вашого домену.

Якщо ви створюєте користувачів, використовуючи новий Duser PowerShell, вкажіть новий суфікс UPN, використовуючи параметр UserPrincipAlName:

Новий -duser -name "test user2" -givenname "тест" -surname "user2" -samaccountname "testuser2" -userprincipalname "[email protected] "

Сьогодні питання з суфіксами UPN найчастіше виникає, коли ви плануєте налаштувати синхронізацію локального (локального) активного каталогу з Azure AD, Microsoft 365, Intune. У Azure це унікальний ідентифікатор користувача userprincipalname - це унікальний ідентифікатор користувача.

Історично багато компаній для своїх внутрішніх доменів AD використовують неминучі або неіснуючі назви DNS (види *.Loc, *.Місцевий).

Кожному користувачеві AD, який буде синхронізований в Azure, повинен бути призначений унікальний та маршрут в Інтернеті за допомогою UserPrincipAlName, що відповідає доменному імені вашого орендаря Azure (Microsoft 365).