我有许多 Windows 10 客户端域已加入 Azure 广告,我还有一个本地 Windows 2012 r2 服务器,其中包含许多我希望从 Windows 10 客户端映射到的共享。但是,如果我尝试从客户端访问 UNC 路径,如果我将凭据添加到凭据管理器中,则会收到“您无权访问服务器”的消息。如果我尝试使用驱动器映射向导,它会显示“使用其他用户映射网络文件夹”,即使没有其他与服务器的连接。
答案1
我以前也遇到过这个问题。本质上,您希望能够摆脱本地域控制器 (DC),因为您可以将笔记本电脑和工作站连接到 Azure。
这是对 Azure 的错误理解。
您仍然需要一个 DC(云中的虚拟机 (VM) 或物理服务器)。
该 DC 已安装并配置了 Azure Active Directory (AAD) Connect。这会在 AD 中创建一个帐户,该帐户将帐户和密码与 AAD 同步。
当加入 AAD 的计算机登录时,它会向 AAD 发送登录请求。然后,AAD 根据从 AD 同步的信息验证该身份验证请求。
因此,如果您的工作站和笔记本电脑已加入 AAD,并且它们尝试访问与 AAD 同步的域不同的服务器上的共享,那么您将需要提供托管您尝试访问的资源的服务器中存在的凭据。
有几种正确的方法可以做到这一点,我会给你两种。
- 如果客户端位于一个位置,并且始终与 DC 位于同一位置,则定期将它们加入域。对于将在其他位置使用的客户端,请将这些计算机加入 AAD 并在 DC 中安装 AAD Connect。
- 如果您想将所有服务器移出办公室,请在 Azure 中为您的 DC 启动一个 VM,并在 VM 前面部署云防火墙。在云防火墙和办公室防火墙之间创建站点到站点虚拟专用网络 (VPN)。现在像平常一样将始终在办公室的计算机加入域,将要远程使用的计算机加入 AAD,并在 DC 上安装 AAD Connect。
答案2
经过大量研究和测试,以下是对我有用的解决方案!这是如何从 AzureAD 连接的 Windows 10 Pro 计算机连接到本地网络资源(例如 SMB 共享、本地服务器等),以最终用户身份登录:
1)搜索“cred”并打开凭证管理器
2)选择 Windows 凭据
3)点击“添加 Windows 凭据”
- Internet 或网络地址:输入网络位置,例如 LAN IP 地址或网络共享
- 用户名:域\用户
- 密码:输入用户密码
例子:
- Internet 或网络地址:\fileserver\share
- 用户名:example.local\Administrator
- 密码:管理员密码
完成上述操作后,Windows 将根据本地域服务器(在本例中为 example.local)检查凭据,并授予或拒绝对网络共享的访问。