В чем моя проблема:
Мы начали с AzureAD и в настоящее время находимся на том этапе, когда используем наши ноутбуки и входим в систему с адресами электронной почты. Устройства показаны как «подключенные» к лазурному AD.
Теперь я хочу создать локальный первичный контроллер домена для управления пользователем, но с SSO.
Проблемы, которые необходимо решить: у нас уже есть несколько сотрудников, и все ноутбуки настроены и полностью установлены. Я бы хотел, чтобы он вел себя так, чтобы для пользователей ничего не менялось. Все данные должны быть там, где они были раньше.
Войдите в систему, используя адрес электронной почты, как обычно, и установите все данные и программы. Так что мне нравится отображение «локальной» пользовательской информации. Просто чтобы уточнить: реальной локальной учетной записи нет, это только учетная запись лазурной рекламы.
Если пользователь меняет свой пароль, он должен быть синхронизирован (с помощью ADConnect).
Что я нашел:
Если я использую вместо этого службы Azure Active Directory (мне было бы все равно, действительно ли это Azure или onpremises), это будет означать, насколько я понимаю, я также должен создать VPN и сделать VPN между сайтами. Поэтому мне также нужна конечная точка VPN в моей локальной сети.
Таким образом, создавая контроллер домена локально, я столкнулся с проблемой, что я не могу реплицировать учетные записи AzureAD локально. Но, читая, я понимаю, что могу сопоставить свои недавно созданные учетные записи пользователей в DC с учетными записями в AzureAD для синхронизации. В Интернете есть несколько статей, чтобы добиться этого, если я не упустил ни одной точки из информации, которую я получил:
https://www.itpromentor.com/soft-vs-hard-match/ https://flamingkeys.com/immutableid-azure-ad/ https://www.e-apostolidis.gr/microsoft/office-365/match-onprem-active-directory-users-existing-office365-users/
Так что я мог бы:
- создать PDC.
- создавать пользователей.
- синхронизировать их с соответствующими учетными записями AzureAD.
Но тогда возникает вопрос:
Решает ли это мою проблему?
Могу ли я добавить устройства (ноутбуки) к PDC, а затем войти в систему с адресами электронной почты, как обычно, и он распознает правильные локально сохраненные данные на рабочем столе и т. Д.?
И можно ли будет просмотреть зашифрованные папки этих пользователей (потому что они будут распознаны как правильные пользователи)?
Или есть способ заново создать PDC, а затем использовать существующую информацию из AzureAD? Поскольку ADConnect не предоставляет эту функциональность в этом направлении, как это задокументировано Microsoft.
ОБНОВИТЬ
Чем больше я сканирую Интернет и собираю информацию, похоже, что мне нужно настроить домен помимо AzureAD, если есть пользователи, использующие учетные записи AzureAD для своих ноутбуков. И держите пользователей в стороне, пока у них не появится время, чтобы заново настроить ноутбук, перемещая свои данные.
Создавая локальных пользователей, я, вероятно, мог бы выполнить мягкое сопоставление, но, скорее всего, логины ноутбука не будут сопоставлены с правильными пользователями.
А для административных пользователей AzureAD Microsoft настоятельно не рекомендует создавать пользователей домена и затем сопоставлять их, поскольку все свойства AzureAD перезаписываются.