Назад | Перейти на главную страницу

Присоединение к рекламному домену Azure AAD Windows 10 и общий доступ к SMB

У меня есть несколько доменов клиентов Windows 10, подключенных к лазурному объявлению, у меня все еще есть локальный сервер Windows 2012 r2 на месте с рядом общих ресурсов, которые я хочу сопоставить с клиентов Windows 10. Но если я попытаюсь получить доступ к пути UNC от клиента, я получаю «у вас нет разрешений на доступ к серверу», если я добавляю учетные данные в диспетчер учетных данных. Если я попытаюсь использовать мастер сопоставления дисков, он покажет, что «Сетевая папка сопоставлена ​​с использованием другого пользователя», хотя других подключений к серверу нет.

После долгих исследований и испытаний вот решение, которое сработало для меня! Вот как подключиться к локальному сетевому ресурсу (например, общему ресурсу SMB, локальному серверу и т. Д.) С компьютера с Windows 10 Pro, подключенного к AzureAD, который вошел в систему как конечный пользователь:

1) Найдите "cred" и откройте диспетчер учетных данных.

2) Выберите учетные данные Windows

3) Нажмите "Добавить учетные данные Windows".

  • Интернет или сетевой адрес: введите сетевое расположение, например IP-адрес в локальной сети или сетевой ресурс.
  • Имя пользователя: домен \ Пользователь
  • Пароль: введите пароль пользователя

Пример:

  • Интернет или сетевой адрес: \ fileserver \ share
  • Имя пользователя: example.local \ Administrator
  • Пароль: пароль администратора

После этого Windows проверит учетные данные на локальном сервере домена (в данном случае example.local) и предоставит или запретит доступ к общему сетевому ресурсу.

Я уже сталкивался с этим вопросом раньше. По сути, вы ожидаете, что сможете избавиться от своего локального контроллера домена (DC), потому что вы можете присоединить свои ноутбуки и рабочие станции к Azure.

Это неправильное понимание Azure.

Вам по-прежнему нужен DC (виртуальная машина (ВМ) в облаке или физический сервер).

На этом контроллере домена установлен и настроен Azure Active Directory (AAD) Connect. Это создает учетную запись в AD, которая синхронизирует учетные записи и пароли с AAD.

Когда компьютер, подключенный к AAD, входит в систему, он отправляет запрос на вход в AAD. Затем AAD проверяет этот запрос аутентификации на соответствие информации, синхронизированной из AD.

Поэтому, если у вас есть рабочие станции и ноутбуки, подключенные к AAD, и они пытаются получить доступ к общему ресурсу на сервере, который находится в другом домене, чем тот, который синхронизируется с AAD, вам потребуется предоставить учетные данные, которые существуют на сервере, на котором размещены ресурсы, которые вы используете. пытается получить доступ.

Есть несколько правильных способов сделать это, и я дам вам два.

  1. Если клиенты находятся в одном месте и всегда будут в том же месте, что и контроллер домена, регулярно присоединяйте их к домену. Для клиентов, которые будут использоваться в других местах, присоедините эти компьютеры к AAD и установите AAD Connect на DC.
  2. Если вы хотите переместить все серверы из офиса, разверните виртуальную машину для своего контроллера домена в Azure и разверните облачный брандмауэр перед своей виртуальной машиной. Создайте виртуальную частную сеть типа "сеть-сеть" (VPN) между облачным межсетевым экраном и межсетевым экраном вашего офиса. Теперь присоедините компьютеры, которые всегда будут в офисе, к домену, как обычно, присоедините компьютеры, которые будут использоваться удаленно к AAD, и установите AAD Connect на DC.