Ich habe eine Reihe von Windows 10-Clients, deren Domänen mit Azure AD verbunden sind. Außerdem habe ich vor Ort noch einen lokalen Windows 2012 R2-Server mit einer Reihe von Freigaben, die ich von den Windows 10-Clients aus zuordnen möchte. Wenn ich jedoch versuche, von einem Client aus auf den UNC-Pfad zuzugreifen, erhalte ich die Meldung „Sie haben keine Berechtigung, auf den Server zuzugreifen“, wenn ich die Anmeldeinformationen zum Anmeldeinformationsmanager hinzufüge. Wenn ich versuche, den Laufwerkszuordnungsassistenten zu verwenden, wird „Netzwerkordner ist mit einem anderen Benutzer zugeordnet“ angezeigt, obwohl keine anderen Verbindungen zum Server bestehen.
Antwort1
Ich bin dieser Frage schon einmal begegnet. Im Wesentlichen erwarten Sie, dass Sie Ihren lokalen Domänencontroller (DC) loswerden können, weil Sie Ihre Laptops und Workstations mit Azure verbinden können.
Das ist ein falsches Verständnis von Azure.
Sie benötigen weiterhin einen DC (eine virtuelle Maschine (VM) in der Cloud oder einen physischen Server).
Auf diesem DC ist Azure Active Directory (AAD) Connect installiert und konfiguriert. Dadurch wird ein Konto in AD erstellt, das Konten und Kennwörter mit AAD synchronisiert.
Wenn sich ein mit AAD verbundener Computer anmeldet, sendet er die Anmeldeanforderung an AAD. AAD validiert diese Authentifizierungsanforderung dann anhand der von AD synchronisierten Informationen.
Wenn Sie also über mit AAD verbundene Arbeitsstationen und Laptops verfügen und diese versuchen, auf eine Freigabe auf einem Server zuzugreifen, der sich in einer anderen Domäne befindet als der, mit der AAD synchronisiert wird, müssen Sie die Anmeldeinformationen angeben, die auf dem Server vorhanden sind, auf dem die Ressourcen gehostet werden, auf die Sie zugreifen möchten.
Dafür gibt es einige richtige Möglichkeiten, und ich werde Ihnen zwei davon nennen.
- Wenn sich die Clients an einem einzigen Standort befinden und immer am selben Standort wie der DC sein werden, fügen Sie sie regelmäßig der Domäne hinzu. Fügen Sie Clients, die an anderen Standorten verwendet werden, zu AAD hinzu und installieren Sie AAD Connect im DC.
- Wenn Sie alle Server aus Ihrem Büro verschieben möchten, starten Sie eine VM für Ihren DC in Azure und stellen Sie vor Ihrer VM eine Cloud-Firewall bereit. Erstellen Sie ein Site-to-Site Virtual Private Network (VPN) zwischen der Cloud-Firewall und Ihrer Büro-Firewall. Verbinden Sie nun Computer, die sich immer im Büro befinden, wie gewohnt mit der Domäne, verbinden Sie Computer, die remote verwendet werden, mit AAD und installieren Sie AAD Connect auf dem DC.
Antwort2
Nach viel Recherche und Tests ist hier die Lösung, die bei mir funktioniert hat! So stellen Sie von einem mit AzureAD verbundenen Windows 10 Pro-Computer, der als Endbenutzer angemeldet ist, eine Verbindung zu einer lokalen Netzwerkressource (z. B. einer SMB-Freigabe, einem lokalen Server usw.) her:
1) Suchen Sie nach „cred“ und öffnen Sie den Credentials Manager
2) Wählen Sie Windows-Anmeldeinformationen
3) Klicken Sie auf „Windows-Anmeldeinformationen hinzufügen“.
- Internet- oder Netzwerkadresse: Geben Sie den Netzwerkstandort ein, z. B. eine LAN-IP-Adresse oder eine Netzwerkfreigabe
- Benutzername: Domäne\Benutzer
- Passwort: Geben Sie das Passwort des Benutzers ein.
Beispiel:
- Internet- oder Netzwerkadresse: \fileserver\share
- Benutzername: example.local\Administrator
- Passwort: Administratorkennwort
Wenn das oben genannte vorhanden ist, gleicht Windows die Anmeldeinformationen mit dem lokalen Domänenserver ab (in diesem Fall example.local) und gewährt oder verweigert den Zugriff auf die Netzwerkfreigabe.