我正在尝试做一些背景介绍,但由于各种原因,我没有成功:Windows 2016 Server 站点域加入 Azure AD
在收到同事的一些反馈后,我可能没有时间或 IT 部门的帮助来研究和集成该系统(Azure AD --> vNet --> Express Route --> 本地 Windows Server 2016)。我得出结论,这是可扩展的单点登录的最佳选择,但我收到了一些反对意见。我们本质上想要的是我们自己的内部网上的服务器来映射网络驱动器并通过浏览器托管视频。
我现在想知道的是,如果我在本地服务器上安装 Active Directory,创建域,然后为我们的用户创建帐户,会发生什么情况。我们建立了一个帐户,该帐户与 AzureAD 绑定。我们所做的一切都与该帐户绑定。
我可以在本地 AD 中复制这些帐户吗?如果我将我们的工作组 (WORKGROUP) 更改为所有计算机上的域,并将本地域添加到我们的计算机,会发生什么情况?我们会失去使用 Azure AD 进行身份验证的能力吗?
我不想说:“嘿,当你想向共享添加某些内容时,请注销,切换到域,使用新的域帐户登录,然后尝试上传。” 也许我对此想得太多了!
我从未使用过混合基础设施,所有文档似乎都是反向的(从本地到 Azure,而不是相反)。我最大的担心是,在本地安装域并将我们的机器更改为该域将使我们无法使用其他应用程序和登录,因为我们的用户和设备已经在 Azure AD 中了。
答案1
在您提出的场景中,听起来您正在谈论使用与 Azure AD 具有相同帐户的本地域,但两者之间没有同步?
如果是这种情况,那么您不会失去对 Azure AD 帐户和应用程序的访问权限,但您的用户将拥有两个单独的帐户。您不会获得任何单点登录,用户必须登录到他们的机器,然后再次登录他们的 AAD 应用程序。此外,如果密码不同(在第一轮过期后几乎总是如此),那么他们需要记住两组凭据。
如果您的目标是拥有一组可以使用域帐户登录的本地计算机,然后使用这些相同的帐户连接到 Azure AD,那么我真的认为您需要退一步并正确执行此操作。设置本地 AD,将其同步到 AAD,并使用这些新帐户进行本地和 AAD 身份验证。是的,这会对用户造成干扰,他们需要迁移到新帐户,但与尝试永久使用不成熟的解决方案相比,这只是短暂的一次性痛苦。