Upn суффикс для локальных доменов active directory

Создание суффиксов UPN (User Principal Name) для Active Directory в домене polygon.local

Задача, обеспечить вход пользователя в домен ( polygon.local) с применением имени в формате UPN (User Principal Name) к примеру Derek@navy.mil.

Запускаем оснастку Active Directory Domains and Trusts (Active Directory – домены и доверие):

«Start» – «Control Panel» – «Administrative Tools» – «Active Directory Domains and Trusts», далее правой кнопкой мыши открываем меню «Properties» (Свойства). (см. Скриншот ниже)

В окне свойств в поле «Alternative UPN Suffixes» (Дополнительные UPN-суффиксы) вводим дополнительный суффикс (navy.mil) и нажимаем кнопку Add (Добавить). После закрывает оснастку Active Directory Domains and Trusts с сохранение сделанных изменений .

Создаём учётную запись через GUI интерфейс :

и ставим пароль Aa1234567

Создаём учётную запись через консоль командной строки интерфейс

(за основу можно взять материал в этой статье)

C:\Windows\system32>dsadd user «cn=derek,ou=it,dc=polygon,dc=local» -pwd Aa1234567 -upn derek@navy.mil -fn Derek -ln Derek

-Pwd – указываем с каким пароль создавать учётную запись.

-upn – имя входа пользователя пред-Windows 2000

-fn – имя пользователя, которое в графическом интерфейсе заполняется в поле «Имя»

-ln – фамилия пользователя, указываемая в поле «Фамилия» мастера создания пользовательской учетной записи

Теперь попробуем войти на рабочую станцию с использование созданной учетной записи Derek и суффиксом @navy. mil .

Не имеет значения, как заходить в домен на рабочей станции, либо через альтернативный DNS-суффикс, либо стандартный вход:

А теперь попробуем войти на домен контроллер dc1. polygon. local от имени учетной записи Derek@navy.mil . Должно появиться сообщение о том, что используемая политика для домен контроллера препятствует входу.

Для того чтобы данной учетной записи Derek@navy.mil предоставить разрешение на локальный вход на домен контроллер dc1.polygon.local следует запустить:

«Start» – «Control Panel» – «Administrative Tools» – запускаем оснастку «Group Policy Management» (Управление групповой политикой). Раскрываем лес polygon.local , после домен и переходим к отображению всех политик в домене (Group Policy Objects).

Открываем на редактирование « Default Domain Controllers Policy ».

Теперь предоставим права локального входа в систему , для пользователя Derek@navy.mil

Раскрываем узел «Computer Configuration» (Конфигурация компьютера) – «Policies» (Политики ) – «Windows Settings» (Конфигурация Windows ) – «Security Settings» (Параметры безопасности) – «Local Policies» (Локальные политики) – «User Rights Assignment» (Назначение прав пользователя) – выбираем элемент «Allow log on locally» (Локальный вход в систему) и добавляем список пользователей (в нашем случае Derek@polygon.local), которым разрешено входить локально на контроллер домена.

Управление UPN суффиксами (UserPrincipalName) в Active Directory

В этой статье мы рассмотрим, что такое UPN (UserPrincipalName) суффиксы в Active Directory, как добавить дополнительные суффиксы в лесу AD, и назначить/изменить UPN суффикс пользователям Active Directory через графическую консоль и PowerShell.

UserPrincipalName (UPN) – это имя для входа пользователя в формате email адреса, например kbuldogov@contoso.com (UPN имя не обязательно должно соответствовать email адресу пользователя). В этом примере kbuldogov это имя пользователя в домене AD (user logon name), contoso.com – UPN суффикс. Между ними разделитель @ .

По умолчанию в Active Directory в качестве UPN суффикса используется DNS имя вашего домена AD. Например, UserPrincipalName пользователя в домене winitpro.local выглядит так: username@winitpro.local.

Если в вашей внутренней AD DS используется немаршрутизируемое имя домена (например domain.local), вы не сможете верифицировать такой домен в Azure (Microsoft 365). Чтобы настроить синхронизацию с Azure вам придется переименовать домен AD (не всегда возможно), или (гораздо проще) добавить дополнительные (альтернативные) UPN суффиксы в своем AD.

Добавляем дополнительный UPN суффикс в Active Directory

В Active Directory вы можете добавить дополнительные (альтернативные) UPN суффиксы с помощью графической консолей Active Directory Domains and Trusts или через PowerShell.

Откройте консоль PowerShell и выполните команду Get-ADForest из модуля AD PowerShell. Следующая команда выведет все назначенные UPN суффиксы в лесу:

Get-ADForest | Format-List UPNSuffixes

Если список пуст, значит у вас используется суффикс UPN по умолчанию, соответствующий имени DNS домена.

Чтобы добавить дополнительный UPN суффикс (например, winitpro.ru), выполните команду:

Get-ADForest | Set-ADForest -UPNSuffixes @

Проверьте, что суффикс появился в UPNSuffixes:

Get-ADForest | Format-List UPNSuffixes

1. Также можно добавить UPN суффикс через консоль Active Directory Domains and Trusts:
2. Откройте консоль domain.msc ;
3. Откройте свойства Active Directory Domains and Trusts:
4. Добавьте новый суффикс в поле Alternative UPN suffixes и нажмите Add.

Как изменить UserPrincipalName у пользователей Active Directory?

Текущее значение UserPrincipalName пользователя можно вывести с помощью командлета Get-ADUser:

Dы можете задать новый UPN суффикс для своих пользователей. Самый простой вариант – изменить UserPrincipalName в свойствах пользователя в консоли ADUC ( dsa.msc ).

Как вы видите, в выпадающем списке доступны все UPN суффиксы домена. Выберите нужный и нажмите OK.

Обратите внимание, что на этой форме UserPrincipalName как бы состоит из двух частей – имени пользователя и UPN суффикса. Но по факту значение UserPrincipalName хранится в одном атрибуте AD.

Когда вам нужно изменить UPN сразу нескольким пользователям, можно выбрать

несколько пользователей в консоли ADUC и нажать Properties. Перейдите на вкладку Account и вы можете сменить UPN суффикс сразу для всех пользователей (если нужно собрать в плоский список пользователей из разных OU, воспользуйтесь сохраненными запросами в консоли ADUC).

На гораздо проще для смены UPN суффикса использовать PowerShell.

Чтобы изменить UPN суффикс одному пользователю, используйте командлет Set-ADUser с параметром UserPrincipalName

Set-ADUser kbuldogov -UserPrincipalName kbuldogov@winitpro.ru

Следующий PowerShell скрипт позволит найти в указанной OU всех пользователей с определённым UPN суффиксом и изменить UserPrincipalName на новый.

Get-ADUser -Filter -SearchBase » OU=Users,OU=SPB,OU=RU,DC=resource,DC=loc» |
ForEach-Object <
$UPN = $_.UserPrincipalName.Replace(«resource.loc»,»winitpro.ru»)
Set-ADUser $_ -UserPrincipalName $UPN -verbose
>

Следующая команд PowerShell позволит найти пользователей, у которых userPrincipalName не задан:

Get-ADUser -LDAPFilter «(!(userPrincipalName=*))» | Select distinguishedName

Если вы создаёте нового пользователя, можете выбрать нужный UPN суффикс вместо DNS имени вашего домена.

Если вы создаёте пользователей с помощью PowerShell командлета New-ADUser, укажите новый UPN суффикс с помощью параметра UserPrincipalName:

New-ADUser -Name «Test User2» -GivenName «Test» -Surname «User2» -SamAccountName «testuser2» -UserPrincipalName «testuser2@winitpro.ru»

Сегодня вопрос с UPN суффиксами чаще всего возникает, когда вы планируете настроить синхронизацию локальной (on-premises) Active Directory с Azure AD, Microsoft 365, Intune. В Azure именно userPrincipalName является уникальным идентификатором пользователя.

Исторически так сложилось, что многие компании для своих внутренних доменов AD использует немаршрутизируемые или несуществующие DNS имена (вида *.loc, *.local).

У каждого пользователя AD, который будет синхронизироваться в Azure должен быть назначен уникальный и маршрутизируемый в интернете userPrincipalName, который соответствует доменному имени вашего тенанта Azure (Microsoft 365).

Add UPN suffix in Active Directory

There are two ways to add an alternative UPN suffix to Active Directory (AD), one way is with the GUI and the other is with PowerShell. In this article, you will learn how to add a UPN suffix in both ways. Also, you will learn what a UPN suffix is and why you need to add a UPN suffix.

Table of contents

What is a UPN suffix

The User Principal Name (UPN) suffix is part of the logon name in AD. When you create a new account, by default it will use the DNS name of your AD domain. For example, your local domain name is alitajran.local and you want to create a new user. The user that you want to create is John Doe. The standard in the organization for creating new users is first.lastname. The logon name will be john.doe@alitajran.local. What if you want it to be john.doe@alitajran.com?

Why do you need a UPN suffix

Some examples why you need to add an alternative UPN suffix:

• Implementing Office 365 in the organization
• The internal domain is a domain.local and you want users to log in with domain.com domain
• New software that requires the users UPN to match the user’s email address

Add UPN in Active Directory with GUI

The following steps will add an alternative UPN suffix in AD with GUI.

Click Start and search for Active Directory Domains and Trusts, and click on it. You can also press Windows key + R to open the Run dialog, and then type in domain.msc, and then choose OK.

On the Active Directory Domains and Trusts window, right-click Active Directory Domains and Trusts, and then choose Properties.

On the UPN Suffixes tab, in the Alternative UPN Suffixes box, type your new UPN suffix, and then choose Add. Click OK when finished.

The alternative UPN suffix is added successfully.

Add UPN in Active Directory with PowerShell

The following steps will add an alternative UPN suffix in AD with PowerShell.

Run PowerShell as administrator. Get a list of the UPN suffixes.

It’s not showing any UPN suffixes, this means that it’s empty. We are going to use the Set-ADforest cmdlet to add the UPN suffix. Let’s add the UPN suffix alitajran.com.

Confirm that the UPN suffix is added successfully.

Conclusion

In this article, you learned what a UPN suffix is. You also learned, why you need a UPN suffix and how to add a UPN suffix in Active Directory. A UPN suffix or suffixes can be added with the GUI or with PowerShell. Microsoft did write a great document about the Set-ADforest cmdlet. Did you enjoy this article? If so, you may like the article Exchange 2016 internal mail flow not working. Don’t forget to follow us and share this article.

ALI TAJRAN

ALI TAJRAN is a passionate IT Architect, IT Consultant, and Microsoft Certified Trainer. He started Information Technology at a very young age, and his goal is to teach and inspire others. Read more »

What Others Are Reading

Why do we need to restart a remote computer with PowerShell? We had to test…

Learn how to enable TLS 1.2 on Windows Server and disable the older TLS protocol…

After installing Exchange Server 2016, the next step is to configure internal DNS in Exchange…

This Post Has 0 Comments

Leave a Reply Cancel reply

SpamBull cloud spam filter
Tired of spam and paying high costs? SpamBull cloud spam filter is the solution.