У нас есть несколько серверов без оборудования, которыми управляет хостинговая компания (UKFast).
На одном из них у нас установлен контроллер домена, а другие серверы являются частью этого домена (сервер Windows 2012 R1).
На данный момент мы настроили пользователей в этом домене и можем подключаться и аутентифицироваться (например, через RDP) с этими пользователями.
Мы хотели бы связать наши учетные записи AzureAD, которые используются для входа на автономные рабочие столы Windows / Outlook 365 и т. Д., В эту конфигурацию, чтобы мы могли проходить аутентификацию на серверах с использованием наших пользователей / паролей AzureAD.
Это возможно? Можно ли это сделать без обновления ДЦ с 2012 года?
Я кратко посмотрел на Подключение к Azure Active Directory, но, похоже, это больше связано с привлечением пользователей AD к AzureAD, чем наоборот, и я все равно не мог заставить его работать в Windows 2012.
Спасибо.
Вы можете использовать Azure AD Connect для синхронизации пользователей Active Directory с Azure AD, но не наоборот.
Инструмент создает пользователя AAD для каждого пользователя AD и поддерживает их синхронизацию; но если пользователь создается в AAD, невозможно синхронизировать его с локальным AD, который ничего о нем не знает. Синхронизация строго однонаправленная (*), от AD к AAD.
(*) Есть некоторые исключения, например, обратная запись пароля; но нет возможности создавать пользователей AD на основе AAD.
Тем не менее, что-то, вероятно, можно взломать, экспортируя пользователей из AAD и импортируя их в AD, а затем изменяя соответствующие атрибуты, чтобы ADConnect мог правильно сопоставить и синхронизировать их; но это потребует обширных знаний и опытно-конструкторских работ.
Думаю, наверное, это то, что мне нужно:
https://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-create-forest-trust