通常域用户帐户用作服务帐户。对于域用户帐户,只要使用用户主体名称 (UPN) 来指代帐户,用户名就可以很容易地长达 64 个字符,例如[email protected]. 如果您仍然使用旧的 Windows 2000 之前的名称 (SAM),则必须将其截断为 ~20 个字符,例如mydomain\truncname.
使用New-ADServiceAccountPowerShell cmdlet 创建新的组托管服务帐户 (gMSA) 并指定长度超过 15 个字符的名称时,将返回错误。要指定更长的名称,必须单独指定 SAM 名称,例如:
New-ADServiceAccount -Name longname -SamAccountName truncname ...
要将服务配置为作为新的 gMSA 运行,我可以使用旧的用户名格式mydomain\truncname$,但在 2013 年使用最多 15 个字符的用户名是一种味道。
如何改为使用 UPN 样式格式来引用 gMSA?
我尝试了这种longname$@domainfqdn方法,但没有用。AD 中的 gMSA 对象似乎也没有指定 userPrincipalName 属性值。
是的,没有。域用户帐户通常用作服务登录帐户。用户帐户的这种特定用途与托管服务帐户并不完全相同。
无论如何,托管服务帐户对象类实际上确实有一个 userPrincipalName,但当您创建新的托管服务帐户时,默认情况下似乎不会填充它。
该
New-ADServiceAccountcmdlet 接受一个名为的参数,该参数OtherAttributes允许您通过 LDAP 显示名称设置帐户属性: