我不明白如何处理这种情况:
笔记本电脑已加入 Azure-AD,用户可使用 PIN 码登录(例如)。此部分运行正常。
现在用户也需要使用本地域。本地 AD 使用以下方式与 Azure-AD 同步AAD Connect 配置代理向导。 这Azure AD 的 NPS 扩展已安装,因此本地域控制器可以访问 Azure 进行身份验证。Azure 用户有Azure AD 高级版执照。
现在,当用户登录时,笔记本电脑并未登录到内部 AD,对吗?没有应用任何策略,没有登录脚本等。因此,连接到内部 SQL 服务器的 LOB 应用程序可能不会接受此用户使用集成 Windows 身份验证。
那么解决方案是什么?我可以同时将笔记本电脑加入本地域吗?如果可以,那么登录如何工作(什么帐户)?
我知道我可以使用 RDS 服务器来实现这一点。然后,如果用户登录,他或她将使用其用户名和密码(在 AAD 和 AD 中相同),并且Azure AD 的 NPS 扩展用于身份验证。但是如果您不使用 RDS,而只需要登录本地域,该怎么办?例如:使用需要 Windows 身份验证的文件共享或 SQL 服务器?
答案1
您无法在 Azure AD 中创建用户并将其(同步回)到本地 AD。但是,您可以使用与 Azure AD 中设置的 UPN 和 SMTP 地址相同的 UPN 和 SMTP 地址设置本地 AD 对象。然后,您可以使用 Azure AD 连接来使用 SMTP 匹配并将您的 AD 同步到 Azure AD。我认为这将授予他们需要 Windows 身份验证的共享所需的权限。先在一个用户上测试一下。