我们有一批由托管公司(UKFast)管理的裸机服务器。
在其中一个上我们设置了域控制器,其他服务器是该域的一部分(Windows 2012 R1 服务器)。
目前,我们已经在此域上设置了用户,并且可以与这些用户连接和进行身份验证(例如通过 RDP)。
我们希望将用于登录独立 Windows 桌面/Outlook 365 等的 AzureAD 登录信息链接到此配置中,以便我们可以使用 AzureAD 用户/密码在服务器上进行身份验证。
这可能吗? 不升级 2012 年的 DC 可以做到吗?
我确实简要地看了看Azure Active Directory 连接,但这似乎更多的是让 AD 用户进入 AzureAD,而不是相反,而且无论如何我无法让它在 Windows 2012 上运行。
谢谢。
答案1
您可以使用 Azure AD Connect 将 Active Directory 用户与 Azure AD 同步,但不能反过来。
该工具的作用是为每个 AD 用户创建一个 AAD 用户,并保持同步;但如果在 AAD 中创建用户,则无法将其同步回本地 AD,因为本地 AD 对此一无所知。同步严格是单向的 (*),从 AD 到 AAD。
(*) 有一些例外,例如密码写回;但无法基于 AAD 用户创建 AD 用户。
也就是说,通过从 AAD 导出用户并将其导入 AD,然后修改适当的属性以便 ADConnect 可以正确映射和同步它们,可能可以破解某些东西;但这需要大量的知识和开发工作。