Active Directory Add-QADUser-唯一标识符是什么？

Question

我正在编写一个 Powershell 脚本来自动从一个数据库中提取信息以更新 Active Directory，例如添加新用户。

我是 Active Directory 的新手，正在使用 this useful graphic maps to link UI label to AD attributes

我希望 UserPrincipalName，例如tina.Tana@example.com，是用户帐户的唯一标识符。

但在测试过程中，结果却并非如此。如果我这样做：

$status = New-QADUser -FirstName 'Tina' -LastName 'Tana' -Name 'Tina A Tana' `
            -UserPrincipalName 'tina.tana@example.com' `
            -ParentContainer 'OU=OU2,OU=OU2,DC=example,DC=com'
$status = New-QADUser -FirstName 'Tina' -LastName 'Tana' -Name 'Tina B Tana' `
            -UserPrincipalName 'tina.tana@example.com' `
            -ParentContainer 'OU=OU2,OU=OU2,DC=example,DC=com'

2 个帐户都可以创建，唯一的区别是 -Name 字段。

如果我这样做：

$status = New-QADUser -FirstName 'Tina' -LastName 'Tana' -Name 'Tina Tana' `
            -UserPrincipalName 'tina.tana-1@example.com' `
            -ParentContainer 'OU=OU2,OU=OU2,DC=example,DC=com'
$status = New-QADUser -FirstName 'Tina' -LastName 'Tana' -Name 'Tina Tana' `
            -UserPrincipalName 'tina.tana-2@example.com' `
            -ParentContainer 'OU=OU2,OU=OU2,DC=example,DC=com'  

区别仅在于 -UserPrincipalName 。第二个添加用户将失败，PS 说用户已经创建。我尝试了其他组合，但它表明 -Name 必须是唯一的，其他字段无关紧要。

我错过了什么吗？在我看来，人们可以有相同的名字，但是在创建帐户时，用户主体名称应该是唯一的。 （当您使用 AD 用户和计算机 GUI 工具手动创建新的用户 AD 帐户时，如果您为不同的人提供相同的登录名（即 userPrincipalName），该工具会告诉您必须提供不同的登录名。

那么为什么使用 Quest Add-QADUser 从 Powershell 执行此操作时会有所不同？为什么在Powershell中执行命令会成功执行？

困惑！ 非常感谢您的意见！

Answer 1

阅读此microsoft KB 和此msdn library

Active Directory 本身不强制 UPN 的唯一性。创建或修改 UPN 的进程负责检查唯一性（这是通过查询全局编录来完成的）。 可能New-Qaduser 没有做这个检查。

通常用户的唯一标识符是samAccountName。 如果你不设置UserPrincipalName AD 建立一个默认的： 用户主体名称有两部分：UPN 前缀（用户帐户名称）和 UPN 后缀（DNS 域名）。这些部分通过 at 符号 (@) 符号连接在一起以构成完整的 UPN。例如，在示例域中拥有帐户的用户某人的 UPN 为“someone@example.com”。