У меня есть несколько доменов клиентов Windows 10, присоединенных к Azure AD, у меня все еще есть локальный сервер Windows 2012 r2 на месте с несколькими общими ресурсами, которые я хочу сопоставить с клиентов Windows 10. Но если я пытаюсь получить доступ к пути UNC с клиента, я получаю «у вас нет прав доступа к серверу», если я добавляю учетные данные в диспетчер учетных данных. Если я пытаюсь использовать мастер сопоставления дисков, он показывает «Сетевая папка сопоставлена с использованием другого пользователя», хотя других подключений к серверу нет.
решение1
Я уже сталкивался с этим вопросом. По сути, вы ожидаете, что сможете избавиться от локального контроллера домена (DC), поскольку сможете подключить свои ноутбуки и рабочие станции к Azure.
Это неправильное понимание Azure.
Вам по-прежнему нужен DC (виртуальная машина (ВМ) в облаке или физический сервер).
На этом DC установлен и настроен Azure Active Directory (AAD) Connect. Это создает учетную запись в AD, которая синхронизирует учетные записи и пароли с AAD.
Когда компьютер, подключенный к AAD, входит в систему, он отправляет запрос на вход в AAD. Затем AAD проверяет этот запрос на аутентификацию, сравнивая его с информацией, синхронизированной из AD.
Поэтому, если у вас есть рабочие станции и ноутбуки, подключенные к AAD, и они пытаются получить доступ к общему ресурсу на сервере, который находится в домене, отличном от того, с которым синхронизируется AAD, вам потребуется предоставить учетные данные, существующие на сервере, на котором размещены ресурсы, к которым вы пытаетесь получить доступ.
Есть несколько правильных способов сделать это, и я расскажу вам о двух из них.
- Если клиенты находятся в одном месте и всегда будут находиться в том же месте, что и DC, то регулярно присоединяйте их к домену. Для клиентов, которые будут использоваться в других местах, присоедините эти компьютеры к AAD и установите AAD Connect в DC.
- Если вы хотите переместить все серверы из офиса, разверните виртуальную машину для вашего DC в Azure и разверните облачный брандмауэр перед вашей виртуальной машиной. Создайте виртуальную частную сеть (VPN) типа «сеть-сеть» между облачным брандмауэром и офисным брандмауэром. Теперь присоедините компьютеры, которые всегда будут находиться в офисе, к домену, как обычно, присоедините компьютеры, которые будут использоваться удаленно, к AAD и установите AAD Connect на DC.
решение2
После долгих исследований и тестирований, вот решение, которое сработало для меня! Вот как подключиться к локальному сетевому ресурсу (например, к общему ресурсу SMB, локальному серверу и т. д.) с подключенного к AzureAD компьютера Windows 10 Pro, войдя в систему как конечный пользователь:
1) Найдите «cred» и откройте диспетчер учетных данных.
2) Выберите Учетные данные Windows
3) Нажмите «Добавить учетные данные Windows».
- Интернет или сетевой адрес: введите сетевое местоположение, например IP-адрес локальной сети или сетевой ресурс.
- Имя пользователя: домен\Пользователь
- Пароль: введите пароль пользователя
Пример:
- Интернет-адрес или сетевой адрес: \fileserver\share
- Имя пользователя: example.local\Администратор
- Пароль: пароль администратора
После выполнения вышеперечисленных действий Windows проверит учетные данные на локальном сервере домена (в данном случае example.local) и предоставит или запретит доступ к сетевому ресурсу.