Немного предыстории того, что я пытаюсь сделать, но по разным причинам не преуспеваю:Присоединение домена Windows 2016 Server к Azure AD
Получив некоторые отзывы от коллег, я могу не иметь времени или помощи от ИТ-отдела для исследования и интеграции этой системы (Azure AD --> vNet --> Express Route --> On-premise Windows Server 2016). Я пришел к выводу, что это лучший вариант для целей единого входа, который масштабируется, но я получаю некоторое сопротивление. По сути, мы хотим сервер в нашей собственной интрасети для сопоставления сетевого диска и размещения видео через браузер.
Теперь я хотел бы узнать, что произойдет, если я установлю Active Directory на локальном сервере, создам домен, а затем создам учетные записи для наших пользователей. У нас установлена одна учетная запись, и она привязана к AzureAD. Все, что мы делаем, привязано к этой учетной записи.
Могу ли я дублировать эти учетные записи в локальном AD? Что произойдет, если я изменю нашу рабочую группу (WORKGROUP) на домен на всех наших машинах, добавив локальный домен к нашей машине? Потеряем ли мы возможность аутентифицировать себя с помощью Azure AD?
Я не хочу говорить: «Эй, когда вы хотите что-то добавить в общий доступ, выйдите из системы, переключитесь на домен, войдите в систему с новой учетной записью домена, а затем попробуйте загрузить». Возможно, я слишком много думаю об этом!
Я никогда не работал с гибридной инфраструктурой, и все документы, похоже, обратные (из локальной в Azure, а не наоборот). Больше всего я боюсь, что установка домена локально и изменение наших машин на этот домен приведет к потере возможности использовать другие приложения и входить в систему, поскольку наши пользователи и устройства уже находятся в Azure AD.
решение1
В предлагаемом вами сценарии речь идет об использовании локального домена с теми же учетными записями, что и в Azure AD, но без синхронизации между ними?
Если это так, то вы не потеряете доступ к своим учетным записям и приложениям Azure AD, но у ваших пользователей будет две отдельные учетные записи. Вы не получите единого входа, пользователям придется входить в свою машину, а затем снова в свои приложения AAD. Кроме того, если пароли различаются (что почти всегда происходит после первого раунда истечения срока действия), то им нужно будет запомнить два набора учетных записей.
Если ваша цель здесь — иметь набор машин prem, на которые вы можете войти с помощью учетных записей домена, а затем использовать эти же учетные записи для подключения к Azure AD, то я действительно думаю, что вам нужно сделать шаг назад и сделать это правильно. Настройте локальную AD, синхронизируйте ее с AAD и используйте эти новые учетные записи для локальной и AAD аутентификации. Да, будут перебои для пользователей, им нужно будет перейти на новые учетные записи, но это кратковременная разовая боль по сравнению с попыткой жить постоянно с полусырым решением.