我们经营一家小公司,并已开始使用 Azure AD 来管理我们的用户。我们的 Windows 10 工作站通过“连接到工作或学校”设置连接到 Azure 域,效果很好。
问题是我们办公室里安装了几个 Windows Server 2016。目前它们设置了本地管理员帐户,人们以该帐户登录以进行管理。
我们真正想要的是能够向我们的 Azure AD 用户授予管理员权限并允许他们使用其常规 Azure AD 凭据登录服务器。
Windows Server 2016 的“连接到工作或学校”相当于什么?我们如何允许 Windows Server 向特定 AD 用户授予管理员权限?
我见过 Azure AD Connect,但这似乎要求我们在本地设置 AD 并将其与 Azure 同步。我担心,如果这是解决方案,它将使我们的管理负担复杂化。我们只是在寻找一个非常简单的解决方案。如果 Azure AD Connect 是答案,那么为 Azure AD 用户实现最基本的现场服务器管理的最简单设置方法是什么?
答案1
在这种情况下(对于 Windows Server),即使您已成功使用 AAD Connect 将您的本地计算机帐户同步到 Azure AD,您仍然无法控制谁可以或不能管理服务器,就像在本地执行此操作一样,甚至允许 AAD 用户登录。
答案2
了解 Azure AD DS -https://azure.microsoft.com/en-us/services/active-directory-ds/
如果您的本地环境中有这些服务器,则需要配置一些网络(VPN)。AAD DS 有局限性,但如果您只需要它来管理安全性和域加入,不需要大型目录结构、GPO 等,它就足够了。