我使用 Azure AD Connect 将用户、计算机和组从本地 Active Directory 同步到 Azure。在设置 Azure AD Connect 之前,每个用户都已存在于本地 AD 和 Azure AD 中,因此我必须通过软链接或硬链接匹配它们。
所有我想要同步的用户都已同步。我的用户帐户出现了问题。该帐户根本不想与其 Azure AD 对应帐户匹配。它总是创建一个“新”的 Azure AD 用户,而不是连接到我现有的用户。解决方案是,我必须从全局管理员中删除我的用户,然后再次同步,这样就成功了。Azure AD 仪表板显示,用户帐户现在已本地同步。
但事实并非如此。我对所有用户都使用密码哈希同步。它适用于除我之外的所有用户。我仍然有一个本地密码和一个云密码。此外,当我将我的用户添加到 AD 中的同步组时,它不会同步到 Azure AD。它适用于所有其他用户帐户。
我该怎么做才能解决这个问题?我想要做的是删除 Azure AD 在我的本地 AD 用户上设置的所有属性,因为我认为可能仍有一些指针指向在尝试匹配我现有的用户时错误创建的帐户。
有任何想法吗?
答案1
您是否最初使用与本地用户帐户具有相同 UPN 的帐户来配置 AAD/租户?如果是这样,您不应该这样做。最好使用通用帐户名作为租户中的“第一个 GA”。我无法说出 AAD 中的密码哈希同步可能产生的任何影响,因为我一直只使用仅限云的帐户来实现该功能。
正如 AAD 设置指南中所述,对于特权帐户,您应该“创建专用的、有特权的、基于云用户帐户并仅在必要时使用它们”。 https://learn.microsoft.com/en-us/microsoft-365/enterprise/protect-your-global-administrator-accounts?view=o365-worldwide#1-create-dedicated-privileged-cloud-based-user-accounts-and-use-them-only-when-necessary
除了您遇到的初始 GA 帐户同步存在任何限制之外,使用本地同步帐户是一种糟糕的安全做法,任何拥有正确本地权限的人都可以更改其密码。此外,如果同步当时不起作用,密码可能会不同步。而且,MSFT 建议为此目的使用仅限云的帐户很可能还有许多其他原因。
答案2
打开同步服务管理器并使用 start run 搜索元宇宙miisclient