У меня 1275 суффикс UPN в AD. Это максимум, разрешенный в Windows Server 2012.
$domain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain();
$domaindn = ($domain.GetDirectoryEntry()).distinguishedName;
$upnDN = "cn=partitions,cn=configuration,$domaindn";
Когда я создаю пользователя с помощью интерфейса ADAC, я не могу выбрать UPN с суффиксом UPN, который не указан в суффиксах ADDT UPN.
Однако я могу создать пользователя с помощью PowerShell с любым суффиксом UPN.
$userDN = "cn=Users,$domaindn";
$userLogin = "user@foobar.com";
New-ADUser -AccountPassword (Read-Host -AsSecureString "Insert $userLogin Account Password") -DisplayName "" -EmailAddress $userLogin -Enabled $true -Name $userLogin -Path $userDN -PasswordNeverExpires $true -SAMAccountName $userLogin -UserPrincipalName $userLogin
Это не добавляет суффикс UPN как доверенный AD. Насколько я тестировал, пользователь работает нормально.
Насколько мне известно, «список доверенных UPN» - это как раз то, что заполняет диалоговое окно при создании нового пользователя. Нет проблем с пользователями, созданными с использованием любого UPN через PowerShell или другой API.
Насколько я помню по своим временам с HMC / MPS, любые настраиваемые UPN (у каждого клиента будет одно или несколько уникальных UPN) были никогда добавлен в «список UPN», который должен показать, что поддерживается создание пользователей с «ненадежными» UPN.