Небольшая предыстория того, что я пытаюсь сделать, но мне не повезло по разным причинам: Windows 2016 Server на присоединении к домену сайта с помощью Azure AD
После получения отзывов от моих коллег у меня может не хватить времени или помощи со стороны ИТ-специалистов для исследования и интеграции этой системы (Azure AD -> vNet -> Express Route -> Windows Server 2016 на локальном компьютере). Я пришел к выводу, что это лучший вариант для целей единого входа, который можно масштабировать, но я получаю некоторые возражения. По сути, нам нужен сервер в нашей собственной интрасети для подключения сетевого диска и размещения видео через браузер.
Сейчас я хотел бы знать, что произойдет, если я установлю Active Directory на локальном сервере, создам домен, а затем создам учетные записи для наших пользователей. У нас есть одна учетная запись, привязанная к AzureAD. Все, что мы делаем, привязано к этой учетной записи.
Могу ли я продублировать эти учетные записи в локальной AD? Что произойдет, если я изменю нашу рабочую группу (WORKGROUP) на домен на всех наших машинах, добавив локальный домен к нашей машине? Потеряем ли мы возможность аутентифицироваться с помощью Azure AD?
Я не хочу говорить: «Эй, когда вы хотите добавить что-то в общий ресурс, выйдите из системы, переключитесь на домен, войдите в систему с новой учетной записью домена и затем попробуйте загрузить». Может, я над этим подумал!
Я никогда не работал с гибридной инфраструктурой, и все документы кажутся обратными (локально в Azure, а не наоборот). Я больше всего опасаюсь, что установка домена локально и замена наших машин на этот домен лишит нас возможности использовать другие приложения и входить в систему, потому что наши пользователи и устройства уже находятся в Azure AD.
В предлагаемом вами сценарии это звучит так, как будто вы говорите об использовании локального домена с теми же учетными записями, что и в Azure AD, но без синхронизации между ними?
В таком случае вы не потеряете доступ к своим учетным записям и приложениям Azure AD, но у ваших пользователей будет две отдельные учетные записи. У вас не будет единого входа, пользователям придется войти в систему на своем компьютере, а затем снова в свои приложения AAD. Также, если пароли различаются (что почти всегда будет после первого раунда истечения срока действия), им необходимо запомнить два набора кредитов.
Если ваша цель здесь - иметь предварительный набор машин, на которые вы можете войти с учетными записями домена, а затем использовать эти же учетные записи для подключения к Azure AD, то я действительно думаю, что вам нужно сделать шаг назад и сделать это правильно. Настройте локальный AD, синхронизируйте его с AAD и используйте эти новые учетные записи для локальной сети и аутентификации AAD. Да, это будет неудобно для пользователей, им нужно будет перейти на новые учетные записи, но это несложная задача по сравнению с попыткой жить постоянно с полуприготовленным решением.