Tags: Active Directory, PowerShell, Exchange
Statt mit Domäne\Benutzername kann man sich mit dem Benutzerprinzipalname (User Principal Name, UPN) am Active Directory anmelden. Dafür verwendet man die Form benutzername@upnsuffix. Diese Anleitung zeigt, wie man den UPN an die Mail-Adresse anpasst.
Um eine saubere und fehlerfreie Anmeldung am System zu gewährleisten, ist es wichtig, dass der UPN und die primäre SMTP-Mailadresse identisch sind, da es ansonsten etwa beim Autodiscover in Outlook zu Schwierigkeiten kommen kann.
UPN-Suffixe auf einem Domänen Controller pflegen
Im Unterschied zum Namen der Domäne lassen sich UPN-Suffixe beliebig ändern, sie sind daher auch unabhängig von der Domäne. Auf diese Weise lassen sich beispielsweise mehrere Firmen unter eine AD-Domäne abbilden.
Öffnen Sie dazu die Active Directory-Domänen und -Vertrauensstellungen, klicken Sie in der Navigation mit der rechten Maustaste auf das Wurzelelement direkt oberhalb der Domäne und öffnen sie die Eigenschaften.
Im nun geöffneten Dialog können Sie nun neue UPN-Suffixe eintragen. In Active Directory-Benutzer und -Computer kann man dann für User diese neue UPN auswählen.
UPN in Outlook on the web (OWA) verwenden
Leider gibt es nur die Möglichkeit, jedem Benutzer immer nur einen Anmeldenamen zu geben. Das Login per Outlook on the Web (OWA) schaut dann unter Verwendung des UPN beispielsweise so aus:
Damit OWA diese Form der Anmeldung akzeptiert, muss man das virtuelle Verzeichnis des IIS entsprechend konfigurieren. Dies erfolgt in der Exchange Webkonsole (ECP) unter Server => Virtuelle Verzeichnisse => OWA.
Hier legt man für die formularbasierte Authentifizierung als Anmeldeformat den Benutzerprinzipalnamen fest.
Anschließend muss man den IIS einmal mit iisreset neu starten, damit die Änderungen übernommen werden.
Wie man mit dem ADSI Editor leicht herausfinden kann, wird der UPN beim Benutzer in das Attribut userPrincipalName geschrieben.
Das zeigt sich auch im Reiter Attribut-Editor von Active Directory-Benutzer und -Computer, wenn unter Ansicht die Erweiterten Features eingeschaltet sind.
Bulk-Änderung von UPNs mit PowerShell
Es stellt sich nun die Frage, wie man etwas größere Domänen pflegen kann, wenn etwa für verschiedene Firmen eigene UPNs verwendet werden, also zum Beispiel wenn Benutzer der Firma A ein anderes Suffix bekommen sollen als die der Firma B.
Am besten geht dies über PowerShell. In meinem Beispiel filtere ich nach der Firma Musterfirma und möchte dafür den UPN contoso.net setzen.
So könnte man nun das Active Directory nach und nach aufräumen und den Benutzern die richtige UPN verpassen.
Natürlich kann das Script so geändert werden, dass die primäre SMTP-Mailadresse auf den UPN übertragen bzw. der UPN entsprechend angepasst wird.
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Ähnliche Beiträge
- Verteilergruppen für Exchange in PowerShell anlegen und verwalten
- Kontakte für Microsoft Exchange anlegen im Admin Center oder mit PowerShell
- Postfächer in Exchange (Online) mit PowerShell verwalten
- Postfächer aus Microsoft 365 in eine PST-Datei exportieren mit PowerShell
- Split-brain DNS in Active Directory einrichten
Weitere Links
4 Kommentare
Danke für das PS-Script zur Änderung der UPNs!
Danke an Herrn Eich für die spontane Hilfe für das Auslesen der eMail-Adresse, die dann als UPN eingesetzt wird.
Achtung: Die primäre Email-Adresse ist nicht automatisch der Inhalt vom Attribut "mail", dieses Feld kann beliebig angepasst werden, auch ohne Exchange im Hintergrund. Bei Exchange ist die primäre Emailadresse die Zeile aus dem Attribut "proxyaddress", welches mit gross geschriebenem "SMTP:" beginnt (klein geschrieben sind die sekundären Adressen/Aliase). Den Wert aus der Attribut rauszufiltern ist etwas aufwändiger, der Rest vom Script kann aber unverändert übernommen werden.
Hallo, nachdem ich einen zusätzlichen UPN-Suffix hinzugefügt habe und die Benutzer entsprechend umgestellt habe, tritt folgendes Problem auf.
Alle Benutzer, die schon vor dem neuen UPN existierten werden beim Zugriff auf Netzlaufwerke (über VPN) nach Anmeldedaten gefragt. Alle Benutzer, die danach angelegt wurden, haben das Problem nicht.
Wie kann ich das bei den Bestandsbenutzern korrigieren?
Mit freundlichen Grüßen