当我们开始将我们的本地 AD 同步到我们的 Azure AD 实例时,我们注意到在某些情况下 Azure AD 上的组不包含本地组的所有成员。
按照 IdFix 的建议,我们找不到不匹配的原因。所有用户都已正确同步。
答案1
我们发现,如果本地 AD 中用户的主要组不是“域用户”,则这些用户的组成员身份的同步是不可预测的。
答案2
默认情况下,Active Directory 用户的主要组是域用户。除非您有 Macintosh 客户端或兼容 POSIX 的应用程序,否则无需更改主要组。
如果将默认主要组更改为新组,例如有两个用户:aadu01和aadu02,两个用户都属于组安得加。 用户aadu02,设置组安得加作为主要组(见截图1),然后,成员组的属性安得加将排除用户aadu02,并且只有用户aadu01将包含在成员属性中(见截图2)。
在 Azure AD Connect 同步期间,成员组的属性将同步到 Azure AD,并根据成员属性,仅限用户aadu01将与组关联安得加。
然而,用户aadu02如果用户包含在同步范围(例如用户、域用户等)内,仍然可以同步到 Azure AD,但不会显示在组 aadg 中。
为了解决此问题,建议将主要组更改为域用户。
屏幕截图 1
屏幕截图 2