我刚刚安装了 Active Directory,并希望将用户与我们已有的 Azure AD 同步。从技术角度来看,这看起来相当容易。我创建了域ad.company.com并添加了我们已验证域的 UPN company.com。然后我创建了 3 个帐户:
[email protected](域管理员)[email protected](域管理员)[email protected](普通用户)
(1) 的 UPN 已存在于 Azure AD(普通用户)中,(2) 和 (3) 目前不存在于 Azure AD 中。我知道 (1) 的密码和其他属性将被 Azure AD 中的本地值覆盖。
我对 (3) 没有任何疑问,但对 (1) 和 (2) 有一些疑问:
- 我是否应该同步(1)和(2),不用担心
- 我是否应该创建单独的
[email protected]和[email protected]账户来本地管理 AD,并且根本不同步它们;另外创建[email protected]和,[email protected]这样我们就有常规账户来使用我们的服务
我试图找到答案,但Azure AD Connect 文档我发现只有
“微软强烈建议不要将本地帐户与 Azure Active Directory 中预先存在的管理帐户同步。
这与我的情况完全相反。
任何建议都值得赞赏。
答案1
将帐户 1 和 2 同步到 Azure AD 不会为 Azure AD 或 Office 365 中的同步帐户提供任何特殊能力、特权或权利。此外,他们在本地 AD 中任何受保护组的成员身份都不会同步到 Azure AD 中的帐户。