我的问题是什么:
我们从 AzureAD 开始,目前使用笔记本电脑并使用帐户电子邮件登录。设备显示为“已加入”Azure AD。
现在我想创建一个内部主域控制器来管理那里的用户但具有 SSO。
要解决的问题:我们已经有几名员工,所有笔记本电脑都已设置并完全安装。我希望它的行为方式对用户没有任何改变。所有数据都应该与以前一样。像
往常一样使用电子邮件地址登录,并安装所有数据和程序。所以我喜欢“本地”用户信息的映射。只是澄清一下:没有真正的本地帐户,它只是一个 Azure 广告帐户。
如果用户更改密码,则应同步(使用 ADConnect)。
我发现:
如果我改用 Azure Active Directory 服务(我实际上并不关心它是 Azure 还是本地),那么根据我的理解,这意味着我还必须创建 VPN 并建立站点到站点 VPN。因此,我也需要在本地网络中建立 VPN 端点。
因此,在本地创建域控制器时,我遇到的问题是无法在本地复制 AzureAD 帐户。但通过阅读,我了解到我可以将 DC 中新创建的用户帐户与 AzureAD 中的帐户进行匹配以进行同步。如果我没有错过我从以下信息中获得的任何一点,那么网上有一些文章可以实现这一点:
https://www.itpromentor.com/soft-vs-hard-match/ https://flamingkeys.com/immutableid-azure-ad/ https://www.e-apostolidis.gr/microsoft/office-365/match-onprem-active-directory-users-existing-office365-users/
所以我可以:
- 创建一个 PDC。
- 创建用户。
- 让他们同步到相应的 AzureAD 帐户。
但问题是:
它能解决我的问题吗?
我可以将设备(笔记本电脑)添加到 PDC,然后像往常一样使用电子邮件地址登录,它会识别桌面等中正确的本地保存数据吗?
是否可以查看这些用户的加密文件夹(因为他们将被识别为正确的用户)?
或者有没有办法新建一个 PDC,然后使用 AzureAD 中的现有信息?正如 Microsoft 所记录的那样,ADConnect 并未提供该方向的此功能。
更新
我在网上搜索和收集的信息越多,我就越觉得只要有用户使用 AzureAD 登录名登录他们的笔记本电脑,我就必须在 AzureAD 之外设置一个域。并将用户分开,直到他们有时间对笔记本电脑进行新的设置并移动他们的数据。
创建本地用户我可能会进行软匹配,但笔记本电脑登录名很可能不会映射到正确的用户。
对于管理 AzureAD 用户,Microsoft 强烈建议不要创建域用户然后匹配他们 - 因为所有 AzureAD 属性都会被覆盖。