我们在 Azure 中设置了 SMB 共享。
我们的基础设施有一个与 Azure AD 同步的内部部署 AD,然后 Azure 内有一个 AADDS 域,其中有用户帐户的副本。
如果我以具有 IAM 读写 SMB 共享权限的用户身份登录 AADDS 域中的计算机,则可以打开它。如果我尝试以同一用户身份从本地域中的计算机访问,则会出现访问被拒绝的情况。我可以从本地域登录到我的计算机并以我自己的身份访问它,所以我假设它对其他人也有效,但事实似乎并非如此。
在 AADDS 域上,我运行了类似下面的脚本,以便在 Active Directory 中创建一个帐户。我怀疑这可能是因为该帐户在本地不存在?问题是,我该如何让两个域都能够访问 SMB 共享,而不会影响 AADDS 上已有的内容?
Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
Import-Module -Name AzFilesHybrid
Connect-AzAccount
$subscriptionId = "<SUBID>"
$resourceGroupName = "<RESOURCEGROUP>"
$storageAccountName = "<STORAGEACCT>"
Select-AzSubscription $subscriptionId
Join-AzStorageAccountForAuth -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -DomainAccountType ServiceLogonAccount -OrganizationalUnitDistinguishedName "<OU_DN>" -OverwriteExistingADObject
背景:
经过更多测试后,似乎没有办法让身份验证同时针对同一存储帐户在两个域上工作。我们之所以需要这样做,是因为 WVD 应用程序引用了映射驱动器。用户需要能够将文件从其本地广告本地连接的计算机传输到相同的映射。
我研究了解决这个问题的方法,比如看看是否有办法将文件资源管理器发布为应用程序,但似乎无法做到这一点。如果 RD 客户端附带一个文件浏览器实用程序,那就太完美了。