Некоторые члены группы групп пользователей AD не синхронизируются при использовании Azure AD Connect.
Когда мы начали синхронизировать нашу локальную AD с нашим экземпляром Azure AD, мы заметили, что в некоторых случаях группы в Azure AD не содержат всех участников, которые есть в локальной группе.
Изучив рекомендации IdFix, мы не смогли найти причину этого несоответствия. Все пользователи были синхронизированы правильно.
Мы обнаружили, что если основная группа пользователя в локальной AD не является «Пользователи домена», синхронизация членства этих пользователей в группах непредсказуема.
По умолчанию основная группа пользователей активного каталога Пользователи домена. Нет необходимости изменять основную группу, если у вас нет клиентов Macintosh или POSIX-совместимых приложений.
Если вы измените основную группу по умолчанию на новую, например, есть два пользователя: aadu01 и aadu02, оба пользователя входят в группу AADG. Пользователь aadu02, установите группу AADG в качестве основной группы (см. снимок экрана 1), то член атрибут для группы AADG исключит пользователя aadu02, и только пользователь aadu01 будет включен в атрибут member (см. снимок экрана 2).
Во время синхронизации Azure AD Connect член атрибут группы будет синхронизирован с Azure AD и на основе член атрибут, только пользователь aadu01 будет связан с группой AADG.
Однако пользователь aadu02 по-прежнему можно синхронизировать с Azure AD, если пользователь включен в область синхронизации, например Пользователи, Пользователи домена и т. д., но он не будет отображаться в группе aadg.
Чтобы решить эту проблему, рекомендуется изменить основную группу на «Пользователи домена».
Скриншот 1
Скриншот 2
