AAD Connect 和域管理员帐户 - 同步它们是否安全?

AAD Connect 和域管理员帐户 - 同步它们是否安全?

我刚刚安装了 Active Directory,并希望将用户与我们已有的 Azure AD 同步。从技术角度来看,这看起来相当容易。我创建了域ad.company.com并添加了我们已验证域的 UPN company.com。然后我创建了 3 个帐户:

  1. [email protected](域管理员)
  2. [email protected](域管理员)
  3. [email protected](普通用户)

(1) 的 UPN 已存在于 Azure AD(普通用户)中,(2) 和 (3) 目前不存在于 Azure AD 中。我知道 (1) 的密码和其他属性将被 Azure AD 中的本地值覆盖。

我对 (3) 没有任何疑问,但对 (1) 和 (2) 有一些疑问:

  1. 我是否应该同步(1)和(2),不用担心
  2. 我是否应该创建单独的[email protected][email protected]账户来本地管理 AD,并且根本不同步它们;另外创建[email protected]和,[email protected]这样我们就有常规账户来使用我们的服务

我试图找到答案,但Azure AD Connect 文档我发现只有

“微软强烈建议不要将本地帐户与 Azure Active Directory 中预先存在的管理帐户同步。

这与我的情况完全相反。

任何建议都值得赞赏。

答案1

将帐户 1 和 2 同步到 Azure AD 不会为 Azure AD 或 Office 365 中的同步帐户提供任何特殊能力、特权或权利。此外,他们在本地 AD 中任何受保护组的成员身份都不会同步到 Azure AD 中的帐户。

相关内容