Importante nessa questão saber diferenciar, nome de usuário e nome de logon para a correta análise.
Nome de usuário (Display name):
Geralmente é o nome do objeto, dado pela combinação de 1º nome, nome do meio e último nome.
Possuem no máximo 256 caracteres.
Nome de logon (common name):
É o nome que representa um objeto. Este é o nome utilizado nas pesquisas. [seria o atributo CN do LDAP].
Limitados a 64 caracteres.
E ainda existe outro detalhe. O atributo SAM-Account-Name (também conhecido como user logon name, antes do Windows 2000).
Ele pode conter 256 caracteres, mas por motivos de retrocompatibilidade está limitado a 20 caracteres.
https://technet.microsoft.com/pt-br/library/active-directory-maximum-limits-scalability(v=ws.10).aspx
Um exemplo desta retrocompatibilidade é a limitação do nome de logon para conta de usuário local:
Um nome de usuário não pode ser idêntico a nenhum outro nome de usuário ou de grupo no computador que está sendo administrado. Um nome de usuário pode conter até 20 caracteres em maiúsculas ou em minúsculas, exceto os seguintes:
" / \ [ ] : ; | = , + * ? < > @
Um nome de usuário não pode ser formado apenas por pontos (.) ou espaços.
https://technet.microsoft.com/pt-BR/library/cc770642.aspx
E a título de curiosidade:
- Nomes de computador NETBIOS e nomes de DOMÍNIO são limitados em 15 caracteres.
- Host Names DNS são limitados a 25 caracteres.
- OUs (Unidades Organizacionais do AD) são limitados a 64 caracteres.