關於我正在嘗試做的事情的一些背景,但由於各種原因我沒有運氣:Windows 2016 Server 網站網域加入 Azure AD
在收到同事的一些回饋後,我可能沒有時間或 IT 人員的幫助來研究和整合該系統(Azure AD --> vNet --> Express Route --> 本地 Windows Server 2016)。這就是我得出的結論,這是單一登入的最佳選擇,可實現可擴展的目的,但我收到了一些反對意見。我們本質上想要的是我們自己的內部網路上的伺服器來映射網路磁碟機並透過瀏覽器託管影片。
我現在想知道的是,如果我在本機伺服器上安裝 Active Directory,建立一個網域,然後為我們的使用者建立帳戶,會發生什麼。我們建立了一個帳戶,該帳戶與 AzureAD 綁定。我們所做的一切都與該帳戶相關。
我可以在本機 AD 中複製這些帳戶嗎?如果我將工作群組 (WORKGROUP) 變更為所有電腦上的網域,並將本機網域新增至我們的電腦上,會發生什麼情況?我們是否會失去使用 Azure AD 進行驗證的能力?
我不想說,“嘿,當您想向共享添加某些內容時,請註銷,切換到網域,使用新網域帳戶登錄,然後嘗試上傳。”也許我想太多了!
我從未使用過混合基礎設施,並且所有文件似乎都是相反的(本地部署到 Azure,而不是相反)。我最擔心的是,在本機安裝網域並將我們的電腦變更到該網域將失去使用其他應用程式和登入的能力,因為我們的使用者和裝置已經在 Azure AD 中。
答案1
在您提出的場景中,聽起來您正在談論使用與 Azure AD 具有相同帳戶的本機網域,但兩者之間沒有同步?
如果是這種情況,那麼您不會失去對 Azure AD 帳戶和應用程式的存取權限,但您的使用者將擁有兩個單獨的帳戶。您不會獲得任何單一登錄,用戶將必須登入他們的計算機,然後再次登入他們的 AAD 應用程式。此外,如果密碼不同(在第一輪到期後幾乎總是如此),那麼他們需要記住兩組信用。
如果您的目標是擁有一組可以使用網域帳戶登入的 prem 計算機,然後使用這些相同的帳戶連接到 Azure AD,那麼我真的認為您需要後退一步並正確執行此操作。設定本機 AD,將其同步到 AAD 並使用這些新帳戶進行本機和 AAD 身份驗證。是的,這會對用戶造成乾擾,他們需要遷移到新帳戶,但與嘗試永久使用半成品解決方案相比,這只是短暫的痛苦。