Het beheren van UPN’s in Active Directory is niet altijd even eenvoudig, vooral als je ervoor wilt zorgen dat alles goed samenwerkt met Azure AD of Microsoft 365. Als je interne domein bijvoorbeeld mydomain.loc of test.local gebruikt, kan synchronisatie een probleem vormen, omdat Azure een routeerbaar, internetvriendelijk UPN-achtervoegsel nodig heeft – anders geeft Azure een foutmelding. Soms wil je gewoon een nieuw achtervoegsel toevoegen of de UPN’s voor een groep gebruikers wijzigen, maar de opties in de ADUC-console lijken dan wat beperkt of onhandig. Dat is waar PowerShell echt van pas komt, omdat het bulkwijzigingen eenvoudiger maakt en je meer controle geeft. Maar inderdaad, het instellen hiervan kan in het begin wat verwarrend zijn, vooral als je nieuw bent met AD of PowerShell. Deze handleiding beschrijft in feite de praktische stappen voor het toevoegen van alternatieve UPN-achtervoegsels in Active Directory en het批量 wijzigen van bestaande gebruikers-UPN’s. Op deze manier kunt u die vervelende synchronisatiefouten in Azure voorkomen, of de aanmeldingen van gebruikers gewoon wat gebruiksvriendelijker en consistenter maken met de externe domeinen van uw bedrijf. Verwacht te zien hoe u de huidige achtervoegsels kunt weergeven, nieuwe kunt toevoegen en vervolgens de UPN’s van uw gebruikers kunt wijzigen, één voor één of in groepen. Als u ooit problemen hebt ondervonden met het inloggen van sommige gebruikers of met de synchronisatie via Azure, dan zijn deze trucs wellicht de oplossing. Voor de duidelijkheid: het is misschien een beetje vreemd, maar het gebruik van PowerShell maakt een enorm verschil. Zodra u de commando’s onder de knie hebt, worden bulkwijzigingen een fluitje van een cent. Oké, laten we eens kijken hoe u dit daadwerkelijk kunt doen zonder uw haren uit te trekken. Want natuurlijk moet Active Directory het ingewikkelder maken dan nodig is.
Hoe voeg je alternatieve UPN-achtervoegsels toe in Active Directory?
Methode 1: UPN-achtervoegsels toevoegen met PowerShell
Allereerst moet je controleren welke achtervoegsels al in gebruik zijn. Als de UPN-achtervoegsellijst van je forest leeg is of alleen de standaard DNS-naam bevat, ziet het er als volgt uit:
Get-ADForest | Format-List UPNSuffixesMet dit commando worden de geregistreerde domeinnamen opgehaald. Als er geen extra achtervoegsels worden weergegeven, kunt u er een toevoegen. Waarom zou u dat doen? Nou, als u gebruikers een gebruiksvriendelijk extern domein wilt geven (zoals woshub.com ) of gewoon schonere aanmeldingen wilt, kan het toevoegen van achtervoegsels in Active Directory helpen. Het is ook essentieel als uw interne domein niet routeerbaar is, zoals mydomain.loc, en u gebruikers zonder fouten naar Azure wilt synchroniseren.
Om een nieuw achtervoegsel toe te voegen, voert u dit commando uit:
Get-ADForest | Set-ADForest -UPNSuffixes @{add="woshub.com"}Controleer of het werkte met:
Get-ADForest | Format-List UPNSuffixesWaarom is dit handig? Omdat je meerdere achtervoegsels kunt toevoegen. Je hebt bijvoorbeeld verschillende merken of organisatie-eenheden (OU’s) die unieke UPN’s nodig hebben, en door op deze manier achtervoegsels toe te voegen, blijft het overzichtelijk. Je kunt dit ook doen via de klassieke Active Directory-interface voor domeinen en vertrouwensrelaties :
- Start de
domain.mscsnap-in; - Klik met de rechtermuisknop op uw domein en kies Eigenschappen ;
- Voeg onder ‘Alternatieve UPN-achtervoegsels’ uw nieuwe domein toe en klik vervolgens op ‘Toevoegen’.
Makkelijk, als je het niet erg vindt om te klikken. Maar PowerShell is sneller als je later met een heleboel gebruikers te maken hebt.
Methode 2: Waarom u mogelijk meerdere UPN-achtervoegsels nodig hebt
Voeg meerdere achtervoegsels toe als u gebruikers in verschillende bedrijven of merken hebt en u ze verschillende externe identiteiten wilt toewijzen. In sommige configuraties is het standaard DNS-achtervoegsel namelijk niet voldoende, vooral niet bij synchronisatie met Azure of Office 365. Houd er rekening mee dat u elk nieuw achtervoegsel moet toevoegen om te controleren of het wordt herkend en beschikbaar is voor toewijzing aan gebruikers.
Hoe u de UPN’s van gebruikers in Active Directory kunt wijzigen
Snelle manier: Gebruik ADUC (Active Directory Gebruikers en Computers)
Voor een handvol gebruikers is het wijzigen van de UPN via de grafische gebruikersinterface vrij eenvoudig. Start dsa.msc, zoek de gebruiker, klik met de rechtermuisknop, kies Eigenschappen en ga vervolgens naar het tabblad Account. U ziet een vervolgkeuzelijst met de beschikbare UPN-achtervoegsels. Kies de gewenste, klik op OK en voilà, de inloggegevens worden direct bijgewerkt.
Dit is handig als je snel een kleine aanpassing wilt maken of een klein gebruikersbestand hebt. Houd er wel rekening mee dat je maar één gebruiker tegelijk kunt wijzigen, dus als je bedrijf honderden gebruikers heeft, wordt het al snel vervelend.
Bulkwijzigingen: Gebruikmaken van PowerShell’s Set-ADUser
Dit is echt een redder in nood. Je kunt in een paar commando’s de UPN’s van meerdere gebruikers tegelijk bijwerken. Stel, je wilt alle gebruikers met een UPN-achtervoegsel @mydomain.loc vinden en dit wijzigen naar woshub.com. Voer dit commando uit:
Get-ADUser -Filter {UserPrincipalName -like "*@mydomain.loc"} -SearchBase "OU=Users, OU=Munich, DC=mydomain, DC=loc" | ForEach-Object { $newUPN = $_. UserPrincipalName. Replace("mydomain.loc", "woshub.com") Set-ADUser $_ -UserPrincipalName $newUPN -Verbose } Hoe vreemd het ook klinkt, dit script haalt gebruikers op die aan uw criteria voldoen, werkt hun UPN bij door het domeingedeelte te vervangen en voert de wijziging door. Het is een van die “instellen en vergeten”-oplossingen, vooral handig voor grote organisaties of OU’s met verschillende regio’s.
En als je gebruikers wilt vinden die helemaal geen UPN hebben ingesteld? Met dit commando worden hun distinguished names weergegeven:
Get-ADUser -LDAPFilter "(!(userPrincipalName=*))" | Select-Object DistinguishedNameNog een handige tip, want soms vergeet iemand een UPN toe te wijzen bij het aanmaken van een account, of wordt een batch accounts overgeslagen. Vergeet niet dat Microsoft aanbeveelt om door de uitgever gevalideerde tools zoals Winhance of de Office 365 IdFix-tool te gebruiken om problemen met dubbele of ongeldige attributen op te lossen voordat u synchroniseert met Azure.
Bij het aanmaken van nieuwe gebruikers met PowerShell hoeft u alleen het UPN-achtervoegsel direct op te geven:
New-ADUser -Name "Jan Kraus" -GivenName "Jan" -Surname "Kraus" -SamAccountName "j.kraus" -UserPrincipalName [email protected]Dit zorgt ervoor dat alles vanaf het begin netjes is, voorkomt fouten en zorgt ervoor dat Azure tevreden is wanneer je later synchroniseert.
Uiteindelijk is het lastige vaak gewoon weten welke achtervoegsels beschikbaar zijn en hoe je UPN’s批量 kunt wijzigen zonder ze te kopiëren en handmatig voor elke gebruiker aan te passen. PowerShell is verrassend veelzijdig als je eenmaal aan de syntax gewend bent — het kan enorm veel tijd besparen, vooral als je tientallen of honderden gebruikersaccounts hebt.