我的公司还很年轻,规模很小,但由于我们正在发展,我们想推出一些软件部署解决方案。我们还没有决定使用哪一个,但他们通常需要一个 Windows 域,而我们没有。我们使用 Office 365 来处理 Outlook、SharePoint 或 Lync 等所有东西。
在另一个问题中,我问如何将用户从 O365 迁移到 Windows AD,似乎唯一的方法是csv 导出从 o365 和 csv-import 导入到 Windows AD。然后我们激活 DirSync,它通过使用 Windows AD 中提供的属性覆盖 O365 中的所有属性来同步帐户。激活 DirSync 还会移动权限来源。
O365 中的许多属性在 Windows AD 中没有类似之处,反之亦然。
如果我们无法迁移某些属性或者在此过程中出现一些错误,某些云应用程序(如 Lync、Outlook 和 SharePoint)可能会停止正常工作。
我们可以测试所有想到的事物,但可能会存在我们没有涉及到的问题。
有没有关于哪个云应用程序使用哪些属性的全面文档?我对 SharePoint、Exchange/Outlook、Lync 和离线应用程序感兴趣。
我该如何测试缺失/错误属性的影响?为每个测试用例创建一个用户,以该用户的身份登录并测试每个应用程序的每个功能?
这个过程听起来很容易出错。有没有更好的方法?有人做过吗?
答案1
您所处的情况很可怕,但并非不可能,并且可以通过启用“SMTP 匹配“,这是将权限来源从您的 Office 365 转移到您的本地活动目录的过程。这可以通过将您的 Office 365 帐户的 SMTP 地址与您的 Active Directory 帐户的 SMTP 地址进行匹配,并使用 DirSync 工具将帐户信息从您的本地 AD 同步到 Office 365 网络来实现。
为了使 SMTP 匹配正常工作,您需要从 Office 365 重新创建用户帐户和组到本地 Active Directory 域,将用户信息从 Office 365 导出到 CSV 文件可能会为您提供一个良好的开端来将 CSV 信息导入回 AD,但问题是从 Office 365 默认导出不会生成您需要导入回活动目录的所有信息和属性,并且从 Office 365 创建的某些属性与 AD 中的属性名称不匹配,因此您可能需要在导入回 AD 之前对 CSV 文件中的属性名称进行一些重命名。
请注意,您不需要 Office 365 中的所有属性即可实现此功能,您只需要在 AD 中创建一个与 Office 365 中的相同 SMTP 地址匹配的帐户即可更改授权来源,所有其他属性(如电话号码、地址、经理等)此时都是装饰性的,可以稍后导入,还请注意,一旦用户帐户的授权/信息来源更改为 AD,AD 中装饰性的用户信息将覆盖 Office 365 上的内容,因此请尽量在启用 DirSync 同步之前导入/导出所有可用信息。
如果你仔细想想,你真正需要做的就是
- 使用 PowerShell 命令从 Office 365 导出帐户信息
Get-MsolUser | Select <attributes> | Export-CSV -Path <FileLocation>
此命令可以使用的可用属性包括:城市、国家/地区、部门、显示名称、传真、名字、姓氏、手机、办公室、永不过期密码、电话号码、门户设置、邮政编码、登录名称、职务、用户主体名称
- 使用Powershell命令将账户信息导入AD
Import-CSV <FileLocation> | New-ADUser
您需要重命名/添加属性到 CSV 文件以使导入过程成功,您可以在此处找到可以导入和使用的所有属性的列表:http://technet.microsoft.com/en-us/library/ee617253.aspx
将您的组从 Office 365 重新创建到 AD 中,并像在 Office 365 网络中一样进行用户放置。
使用以下 KB 文章启用 SMTP 匹配:http://support.microsoft.com/kb/2641663/en-us,更多信息请点击这里:http://stellark.itgroove.net/2014/05/21/dirsyncsmtpmatching/
(可选)使用 Microsoft IDFix 工具确保在 AD 中创建的信息与 Office 365 网络兼容,该工具可在此处找到:http://www.microsoft.com/en-us/download/details.aspx?id=36832
启用 DirSync,可以在此处找到一篇不错的文章:http://social.technet.microsoft.com/wiki/contents/articles/19098.dirsync-how-to-install-the-directory-sync-tool.aspx
(可选)您可以在迁移整个公司之前先测试迁移几个用户,这可以通过将测试用户放在 AD 内的 OU 中来完成,然后要求 DirSync 仅将 OU 的内容迁移到 Office 365,更多信息可以在这里找到:http://blogs.technet.com/b/praveenkumar/archive/2014/04/11/how-to-do-ou-based-filtering-in-office-365.aspx
理论上,这将改变您的 AD 的权限来源,并且用户帐户/组/密码将从 AD 导入到 Office 365,如果您经过仔细规划和测试执行此操作,我想不出会对您的用户或 Office 365 造成任何损害。
希望这会有所帮助,如果您需要进一步讨论此事,请告诉我,我很乐意提供帮助。
答案2
看看 opsi (opsi.org),了解不需要 AD 的部署解决方案。它是免费的(开源,gpl)并且效果很好,但您肯定需要一些帮助来设置它,这取决于您对 Linux 和 Windows 的内部知识。有些高级功能也需要花钱。