为在 Active Directory 中创建新用户设置默认 UPN 后缀

据我所知，这是无法做到的（4年后埃文的回答仍然正确）。

也就是说，我编写了一个脚本，每隔几个小时在任务调度程序中运行一个以上的客户端。它搜索特定的后缀（大多数情况下的默认后缀）并将其切换到另一个。脚本在我的博客上，但我也会在这里发布:)

Import-Module ActiveDirectory


Get-ADUser -Filter {UserPrincipalName -like "*@ad.example.com"} -SearchBase "OU=SomeUserOu,DC=ad,DC=example,DC=com" |
ForEach-Object {
    $UPN = $_.UserPrincipalName.Replace("ad.example.com","example.com")
    Set-ADUser $_ -UserPrincipalName $UPN
}

在这种情况下，使用ad.example.comUPN 后缀创建的用户将使用后缀进行更新example.com。

我知道没有记录的机制可以更改 Active Directory 用户和计算机选择的默认 UPN 后缀。我相信该工具是硬连线的，它采用在您的林中“CN=Partitions,CN=Configuration, ...”中指定的域的“crossRef”对象上定义的“canonicalName”属性的第一部分。

AD 用户和计算机恰好天生就可以做到这一点。如果您使用其他方式（例如“NET USER ... /add”）创建用户帐户，则不会将任何 userPrincipalName 属性分配给该帐户。默认的 UPN 后缀实际上只是 AD 用户和计算机中的默认值，而不是目录服务本身的默认值。

如果您遇到包含脚本的 Microsoft 知识库文章，该文章向您展示了如何以编程方式获取默认 UPN 后缀 ( http://support.microsoft.com/default.aspx?scid=kb;en-us;Q269441 )，请注意，该脚本中有几个语法错误（第 17 和 32 行格式错误，第 32 行的 srrNamingContext 应该是 strNamingContext）。我将在本文末尾包含一个经过小幅改进的固定版本（它向您显示了可能定义了其他 UPN 后缀的各个 OU 的名称）。

我很想得到比我更“知情”的人的纠正，但我没有看到任何让 AD 用户和计算机采取不同行动的方法。

' --- Get the naming contexts ----
Set RootDSE = GetObject("LDAP://RootDSE")
strNamingContext = RootDSE.Get("defaultNamingContext")
strConfigContext = RootDSE.Get("configurationNamingContext")

' -- Get the current domain name --
Set oDomain = GetObject("LDAP://" + strNamingContext)
strDomainName = oDomain.Get("name")

Set oPartition = GetObject("LDAP://CN=Partitions," & strConfigContext)

'-- Get the DNS name of the domain --
oDomain.GetInfoEx Array("canonicalName"), 0
strCanonical = oDomain.Get("canonicalName")
strDNSName = Left(strCanonical, Len(strCanonical) - 1) 'clip off "/"

'-- Display the default UPN suffix
wscript.echo strDNSName

'-- Get the defined upnSuffixes --
suffixes = oPartition.GetEx("UPNSuffixes")
For Each upnSuffix In suffixes
  wscript.echo upnSuffix
Next
Set RootDSE = Nothing
Set oDomain =Nothing
Set oPartition = Nothing

' -- Get the upnsuffixes defined on organizational units --
Set ADOconn = CreateObject("ADODB.Connection")
Set ADOcom = CreateObject("ADODB.Command")

ADOconn.Provider = "ADsDSOObject"
bstrADOQueryString = "<LDAP://" + strNamingContext + ">;(objectcategory=organizationalUnit);upnsuffixes,ADsPath;subtree"
wscript.echo bstrADOQueryString 
ADOconn.Open
ADOcom.ActiveConnection = ADOconn

ADOcom.CommandText = bstrADOQueryString
ADOcom.Properties("Page Size") = 99

Set objRS = ADOcom.Execute

While Not objRS.EOF
   If Not IsNull(objRS.Fields("upnSuffixes")) Then
    upnsuffixes = objRS.Fields("upnSuffixes")
    For Each upnsuffix In upnsuffixes
        wscript.echo objRS.Fields("adsPath") & " - Suffix: " & upnsuffix
    Next
   End If

   objRS.MoveNext
Wend

Set objRS = Nothing
Set ADOcom = Nothing
Set ADOconn = Nothing

您可以设置允许的 UPN 后缀，进入 ADSIEDIT.MSC，插入 OU 结构，右键单击 OU（在默认配置中），然后编辑 OU 属性。要编辑的 OU 属性是 UPNSuffixes。但是，这不会影响分配给在该 OU 中创建的用户的默认 UPN。将所需的 UPN 后缀添加到此列表中。接下来，创建要复制的模板用户。右键单击 OU，创建一个新用户以用作模板，分配正确的 UPN 后缀，然后在创建后右键单击该用户并禁用帐户。要创建新用户，请右键单击模板用户并复制 .. 填写所选字段，然后将使用正确的 UPN 创建新用户。为不同的 UPNS 创建多个模板用户。或者，如果有疑问，请切换到 powershell。

实际上，您可以在 Powershell 的 Active Directory 模块中运行：Set-ADOrganizationalUnit "OU=XXX,DC=Domain,DC=com" -Add @{upnsuffixes="@UPNSuffix.com"。

或者您可以使用带有 -Filter 开关的“Get-adorganizationalUnit”并将其通过管道传送到“Set-ADOrganizationalUnit -Add @{upnsuffixes="@UPNSuffix.com"'

找了好久才发现这个，希望对大家有帮助。

这篇 technet 文章介绍了如何在您的域中添加或删除 UPN 后缀：

http://technet.microsoft.com/en-us/library/cc756018(WS.10).aspx

这里也有讨论：

http://technet.microsoft.com/en-us/library/cc739093(WS.10).aspx

我不能亲自担保，因为我从来没有这样做过，但有一件事确实浮现在脑海中。如果您要执行此操作，您需要记住，虽然 AD 可以正常工作，但您拥有的任何 3rd 方软件可能并非如此，它可能假定 UPN 后缀始终是标准的. 换句话说，在做出改变之前仔细考虑后果。