通常的域用户帐户被用作服务帐户。 使用域用户帐户,只要使用用户主体名称(UPN)来引用帐户,用户名就可以长达64个字符,例如[email protected] 。 如果您仍使用传统的Windows 2000以前的名称(SAM),则必须将其截断为mydomain\truncname个字符,例如mydomain\truncname 。
使用New-ADServiceAccount PowerShell cmdlet创build新的Group Managed Service Account(gMSA)时,如果指定了长于15个字符的名称,则会返回错误。 要指定更长的名称,必须单独指定SAM名称,例如:
New-ADServiceAccount -Name longname -SamAccountName truncname ...
要configuration服务作为新的gMSA运行,我可以使用旧的用户名格式mydomain\truncname$但在2013年使用最多15个字符的用户名是一种气味。
我如何使用UPN风格的格式来引用gMSA?
我试了longname$@domainfqdn方法,但是没有奏效。 也似乎AD中的gMSA对象没有指定userPrincipalName属性值。
通常的域用户帐户被用作服务帐户。
是的,没有。 域用户帐户通常用作服务login帐户 。 用户帐户的这种特定用途与托pipe服务帐户不完全相同。
无论如何, 托pipe服务帐户对象类实际上有一个userPrincipalName,但是当您创build一个新的托pipe服务帐户时,它似乎没有默认填充。
New-ADServiceAccount cmdlet接受一个名为OtherAttributes的参数,该参数允许您通过LDAP Display Name来设置帐户属性:
New-ADServiceAccount -Name longName -sAMAccountName truncname -OtherAttributes @{'userPrincipalName'="[email protected]"}