Die Verwaltung von UPNs in Active Directory ist nicht immer einfach, insbesondere wenn die Kompatibilität mit Azure AD oder Microsoft 365 gewährleistet sein soll. Verwendet Ihre interne Domäne beispielsweise „mydomain.loc“ oder „test.local“, kann die Synchronisierung problematisch werden, da Azure ein routingfähiges, internetkompatibles UPN-Suffix benötigt – andernfalls gibt es Probleme. Manchmal möchte man einfach ein neues Suffix hinzufügen oder die UPNs für mehrere Benutzer ändern, doch die Optionen in der ADUC-Konsole wirken oft etwas eingeschränkt oder umständlich. Hier spielt PowerShell seine Stärken aus: Massenänderungen werden vereinfacht und Sie erhalten mehr Kontrolle. Die Einrichtung kann anfangs etwas verwirrend sein, insbesondere für AD- oder PowerShell-Neulinge. Dieser Leitfaden bietet Ihnen die praktischen Schritte zum Hinzufügen alternativer UPN-Suffixe in Active Directory und zum Massenändern vorhandener Benutzer-UPNs. So vermeiden Sie lästige Synchronisierungsfehler in Azure oder gestalten die Benutzeranmeldung benutzerfreundlicher und konsistenter mit den externen Domänen Ihres Unternehmens. Sie erfahren, wie Sie aktuelle Suffixe auflisten, neue hinzufügen und die UPNs Ihrer Benutzer ändern – einzeln oder in Gruppen. Falls Sie jemals Probleme mit der Anmeldung einzelner Benutzer oder der Synchronisierung durch Azure hatten, könnten diese Tipps die Lösung sein.Übrigens: Es mag etwas ungewöhnlich klingen, aber die Verwendung von PowerShell macht einen großen Unterschied – sobald Sie die Befehle beherrschen, werden Massenänderungen zum Kinderspiel. Gut, legen wir los und zeigen Ihnen, wie Sie das Ganze ohne Frust erledigen. Denn natürlich muss Active Directory es einem unnötig schwer machen.
So fügen Sie alternative UPN-Suffixe in Active Directory hinzu
Methode 1: Hinzufügen von UPN-Suffixen mithilfe von PowerShell
Als Erstes sollten Sie prüfen, welche Suffixe bereits verwendet werden. Wenn die UPN-Suffixliste Ihrer Gesamtstruktur leer ist oder nur den Standard-DNS-Namen enthält, sieht sie folgendermaßen aus:
Get-ADForest | Format-List UPNSuffixesDieser Befehl ruft die registrierten Domains ab. Falls keine weiteren Suffixe aufgeführt sind, können Sie eines hinzufügen. Wozu der Aufwand? Nun, wenn Sie Benutzern eine benutzerfreundliche externe Domain (wie woshub.com ) anbieten oder einfach übersichtlichere Anmeldevorgänge wünschen, ist das Hinzufügen von Suffixen in Active Directory hilfreich. Es ist außerdem unerlässlich, wenn Ihre interne Domain nicht routingfähig ist, wie beispielsweise mydomain.loc, und Sie Benutzer fehlerfrei mit Azure synchronisieren möchten.
Um ein neues Suffix hinzuzufügen, führen Sie diesen Befehl aus:
Get-ADForest | Set-ADForest -UPNSuffixes @{add="woshub.com"}Prüfen Sie, ob es mit Folgendem funktioniert hat:
Get-ADForest | Format-List UPNSuffixesUnd warum ist das so praktisch? Weil man mehrere Suffixe hinzufügen kann – beispielsweise für verschiedene Marken oder Organisationseinheiten, die jeweils eindeutige UPNs benötigen. Durch das Hinzufügen von Suffixen auf diese Weise bleibt alles einfach. Alternativ kann man dies auch über die klassische Benutzeroberfläche von Active Directory-Domänen und -Vertrauensstellungen tun.
- Führen Sie das
domain.mscEinrasten durch; - Klicken Sie mit der rechten Maustaste auf Ihre Domain und wählen Sie „Eigenschaften “.
- Fügen Sie unter Alternative UPN-Suffixe Ihre neue Domain hinzu und klicken Sie dann auf Hinzufügen.
Einfach, wenn man gerne herumklickt. PowerShell ist jedoch schneller, wenn man später eine größere Anzahl von Benutzern verwalten möchte.
Methode 2: Warum Sie möglicherweise mehrere UPN-Suffixe benötigen
Fügen Sie mehrere DNS-Suffixe hinzu, wenn Ihre Benutzer verschiedenen Unternehmen oder Marken angehören und Sie ihnen unterschiedliche externe Identitäten zuweisen möchten. In manchen Konfigurationen reicht das Standard-DNS-Suffix nämlich nicht aus – insbesondere bei der Synchronisierung mit Azure oder Office 365. Denken Sie daran, jedes neue Suffix hinzuzufügen, damit es erkannt und Benutzern zugewiesen werden kann.
So ändern Sie Benutzer-UPNs in Active Directory
Schnellmethode: Verwendung von ADUC (Active Directory-Benutzer und -Computer)
Für einige Benutzer ist das Ändern des UPN in der Benutzeroberfläche ganz einfach. Starten Sie dsa.msc, suchen Sie den Benutzer, klicken Sie mit der rechten Maustaste darauf, wählen Sie „Eigenschaften“ und wechseln Sie dann zum Tab „ Konto“. Dort finden Sie eine Dropdown-Liste mit den verfügbaren UPN-Suffixen. Wählen Sie den gewünschten Suffix aus, klicken Sie auf „OK“ und schon werden die Anmeldeinformationen aktualisiert.
Das ist praktisch, wenn Sie nur eine kleine Anpassung vornehmen möchten oder eine geringe Nutzerbasis haben. Beachten Sie jedoch, dass immer nur ein Benutzer geändert werden kann. Bei Hunderten von Benutzern in Ihrem Unternehmen wird das schnell mühsam.
Massenänderungen: Verwenden des PowerShell-Befehls Set-ADUser
Das ist wirklich Gold wert. Sie können die UPNs mehrerer Benutzer mit wenigen Befehlen gleichzeitig aktualisieren. Angenommen, Sie möchten alle Benutzer mit dem UPN-Suffix „@mydomain.loc“ finden und es in „woshub.com“ ändern. Führen Sie folgenden Befehl aus:
Get-ADUser -Filter {UserPrincipalName -like "*@mydomain.loc"} -SearchBase "OU=Users, OU=Munich, DC=mydomain, DC=loc" | ForEach-Object { $newUPN = $_. UserPrincipalName. Replace("mydomain.loc", "woshub.com") Set-ADUser $_ -UserPrincipalName $newUPN -Verbose } So seltsam es auch klingen mag: Dieses Skript findet Benutzer, die Ihren Kriterien entsprechen, aktualisiert deren UPN, indem es den Domänenteil ersetzt, und wendet die Änderung an. Es ist eine dieser Lösungen, die man einmal einrichtet und dann vergisst – besonders geeignet für große Organisationen oder Organisationseinheiten mit verschiedenen Regionen.
Und wenn Sie Benutzer finden möchten, die überhaupt keinen UPN festgelegt haben? Dieser Befehl zeigt deren Distinguished Names an:
Get-ADUser -LDAPFilter "(!(userPrincipalName=*))" | Select-Object DistinguishedNameEin weiterer nützlicher Tipp: Manchmal vergisst man, bei der Kontoerstellung einen UPN zuzuweisen, oder es werden mehrere Konten übersehen. Microsoft empfiehlt daher, vor der Synchronisierung mit Azure ausstellervalidierte Tools wie Winhance oder das Office 365 IdFix-Tool zu verwenden, um doppelte oder ungültige Attribute zu beheben.
Wenn Sie mit PowerShell neue Benutzer erstellen, geben Sie einfach das UPN-Suffix direkt an:
New-ADUser -Name "Jan Kraus" -GivenName "Jan" -Surname "Kraus" -SamAccountName "j.kraus" -UserPrincipalName [email protected]Dadurch bleibt alles von Anfang an übersichtlich, Fehler werden vermieden und Azure ist zufrieden, wenn Sie später synchronisieren.
Letztendlich besteht die Schwierigkeit oft darin, die verfügbaren Suffixe zu kennen und UPNs massenhaft zu ändern, ohne sie für jeden Benutzer einzeln kopieren und bearbeiten zu müssen. PowerShell ist erstaunlich vielseitig, sobald man sich an die Syntax gewöhnt hat – es kann enorm viel Zeit sparen, insbesondere bei Dutzenden oder Hunderten von Benutzerkonten.