在仅使用 O365 的公司中设置 Windows 域

您所处的情况很可怕，但并非不可能，并且可以通过启用“SMTP 匹配“，这是将权限来源从您的 Office 365 转移到您的本地活动目录的过程。这可以通过将您的 Office 365 帐户的 SMTP 地址与您的 Active Directory 帐户的 SMTP 地址进行匹配，并使用 DirSync 工具将帐户信息从您的本地 AD 同步到 Office 365 网络来实现。

为了使 SMTP 匹配正常工作，您需要从 Office 365 重新创建用户帐户和组到本地 Active Directory 域，将用户信息从 Office 365 导出到 CSV 文件可能会为您提供一个良好的开端来将 CSV 信息导入回 AD，但问题是从 Office 365 默认导出不会生成您需要导入回活动目录的所有信息和属性，并且从 Office 365 创建的某些属性与 AD 中的属性名称不匹配，因此您可能需要在导入回 AD 之前对 CSV 文件中的属性名称进行一些重命名。

请注意，您不需要 Office 365 中的所有属性即可实现此功能，您只需要在 AD 中创建一个与 Office 365 中的相同 SMTP 地址匹配的帐户即可更改授权来源，所有其他属性（如电话号码、地址、经理等）此时都是装饰性的，可以稍后导入，还请注意，一旦用户帐户的授权/信息来源更改为 AD，AD 中装饰性的用户信息将覆盖 Office 365 上的内容，因此请尽量在启用 DirSync 同步之前导入/导出所有可用信息。

如果你仔细想想，你真正需要做的就是

1. 使用 PowerShell 命令从 Office 365 导出帐户信息Get-MsolUser | Select <attributes> | Export-CSV -Path <FileLocation>

此命令可以使用的可用属性包括：城市、国家/地区、部门、显示名称、传真、名字、姓氏、手机、办公室、永不过期密码、电话号码、门户设置、邮政编码、登录名称、职务、用户主体名称

2. 使用Powershell命令将账户信息导入ADImport-CSV <FileLocation> | New-ADUser

您需要重命名/添加属性到 CSV 文件以使导入过程成功，您可以在此处找到可以导入和使用的所有属性的列表：http://technet.microsoft.com/en-us/library/ee617253.aspx

3. 将您的组从 Office 365 重新创建到 AD 中，并像在 Office 365 网络中一样进行用户放置。

4. 使用以下 KB 文章启用 SMTP 匹配：http://support.microsoft.com/kb/2641663/en-us，更多信息请点击这里：http://stellark.itgroove.net/2014/05/21/dirsyncsmtpmatching/

5. （可选）使用 Microsoft IDFix 工具确保在 AD 中创建的信息与 Office 365 网络兼容，该工具可在此处找到：http://www.microsoft.com/en-us/download/details.aspx?id=36832

6. 启用 DirSync，可以在此处找到一篇不错的文章：http://social.technet.microsoft.com/wiki/contents/articles/19098.dirsync-how-to-install-the-directory-sync-tool.aspx

7. （可选）您可以在迁移整个公司之前先测试迁移几个用户，这可以通过将测试用户放在 AD 内的 OU 中来完成，然后要求 DirSync 仅将 OU 的内容迁移到 Office 365，更多信息可以在这里找到：http://blogs.technet.com/b/praveenkumar/archive/2014/04/11/how-to-do-ou-based-filtering-in-office-365.aspx

理论上，这将改变您的 AD 的权限来源，并且用户帐户/组/密码将从 AD 导入到 Office 365，如果您经过仔细规划和测试执行此操作，我想不出会对您的用户或 Office 365 造成任何损害。

希望这会有所帮助，如果您需要进一步讨论此事，请告诉我，我很乐意提供帮助。

看看 opsi (opsi.org)，了解不需要 AD 的部署解决方案。它是免费的（开源，gpl）并且效果很好，但您肯定需要一些帮助来设置它，这取决于您对 Linux 和 Windows 的内部知识。有些高级功能也需要花钱。