По ряду причин значительное количество наших ПК с Windows не присоединено к нашему домену Windows 2012 R2 Active Directory. Мы находимся в процессе исправления этого и присоединяем ПК для каждого офиса.
У некоторых наших сотрудников теперь есть ПК с Windows 8.1, и когда они были куплены, они послушно последовали настоянию Microsoft и создали учетную запись Microsoft Live, связанную с этим ПК. Имена пользователей представлены в виде UPN, который для целей этого вопроса я буду рассматривать как демонстрационный домен Microsoft, поэтому jsmith@contoso.com. Эти ПК были настроены нашими удаленными сотрудниками добросовестно; только теперь я могу привести их в наши владения.
Неудивительно, что UPN, который выбирают наши сотрудники, совпадает с реальным, который мы даем им для нашего домена, поэтому пользователи входят в систему на ПК, используя свой адрес электронной почты (UPN), а затем входят в центральные службы, также используя то же имя учетной записи. (Это не SSO, потому что между Microsoft Live и нашим доменом нет доверительных отношений.)
Я могу достаточно легко присоединить компьютеры к домену CONTOSO, и везде работает UPN. У меня также есть готовый к работе объект групповой политики, который убедит эти компьютеры с Windows использовать по умолчанию неквалифицированное имя пользователя для входа в наш домен, а не в Microsoft Live. Однако похоже, что способ, которым Windows 8.1 различает настоящую локальную учетную запись, связанную учетную запись Microsoft Live и учетную запись домена, состоит в том, что локальная учетная запись использует неквалифицированное имя, учетная запись Live использует UPN, а учетная запись домена перемещается назад для использования ДОМЕН \ Стиль имени пользователя. Мы отошли от формы CONTOSO \ Username около года назад в рамках параллельной миграции почтовых служб на Office 365, и я бы предпочел, чтобы пользователи по-прежнему входили в систему везде с UPN.
Я знаю, что могу перенести локальный профиль пользователя в профиль домена, используя что-то вроде Forensit мастер миграции профиля пользователя, так что это касается данных.
Однако есть ли разумный способ перенести форму входа UPN на этих компьютерах с Microsoft Live в наш домен? Я действительно не хочу, чтобы некоторые люди могли входить в систему с UPN, а другие не забывали использовать старый формат DOMAIN \ Username.
Оказывается, решение простое - в принципе, если не на практике.
Процесс не может выполняться через Powershell или GPO. Для этого требуется, чтобы соответствующий пользователь вошел в систему на ПК со своей учетной записью Microsoft Live (то есть вход в стиле UPN, например jsmith@contoso.com).
Как только это отключение будет достигнуто и компьютер будет перезагружен, учетная запись в стиле UPN снова будет связана с доменом.