我已经设置了 Azure AD,并且能够成功将我的 RM VM 实例加入此域。但是,即使使用全局管理员帐户登录,我也无法对目录进行任何更改。我没有添加或删除用户、组或组织单位等的选项。目录似乎是只读的。
我可以更改目录的唯一方法是通过 Azure 门户。
我在网上找不到任何关于此特定问题的参考资料,所以我怀疑这一定是我的设置出了问题。我一定是在某个地方漏掉了一步。我检查了所有我能找到的 AAD 管理屏幕,但找不到任何提到允许对域进行写访问的内容。
其中一个虚拟机运行的是 Server 2012 R2,另一个虚拟机运行的是 Server 2016。
更新...我发现虽然我无法更改任何现有的 OU、组或用户,但我可以添加一个新的顶级 OU,然后在其中添加任何我喜欢的内容。这部分解决了我的问题。然而,下一个问题是我添加的这些新用户似乎没有出现在 Azure 门户中。
因此,看来我可以在门户中或使用 Windows 中的域管理实用程序来管理用户,但不能同时进行这两项操作。
我刚刚发现这个...警告您在自定义 OU 下创建的用户帐户、组、服务帐户和计算机对象在您的 Azure AD 租户中不可用。换句话说,这些对象不会使用 Azure AD Graph API 或 Azure AD UI 显示。这些对象仅在您的 Azure AD 域服务托管域中可用。
所以这似乎只是 AAD 域服务的局限性之一。
答案1
所以这似乎只是 AAD 域服务的局限性之一。
是的,你最好明白从 Azure AD 租户同步到托管域
用户帐户、组成员身份和凭据哈希从 Azure AD 租户同步到 Azure AD 域服务托管域。
同步过程本质上也是单向的。除您创建的任何自定义 OU 外,您的托管域大部分都是只读的。因此,您无法更改托管域内的用户属性、用户密码或组成员身份。因此,无法将托管域中的更改反向同步回 Azure AD 租户。