Azure AD - невозможно внести изменения в каталог из виртуальной машины, присоединенной к домену
272
user1751825
Я установил Azure AD и смог успешно присоединить экземпляры виртуальной машины RM к этому домену. Однако даже при входе в систему с учетной записью глобального администратора я не могу вносить какие-либо изменения в каталог. У меня нет возможности добавлять или удалять пользователей, группы, подразделения Org и т. Д. Справочник, похоже, доступен только для чтения.
Единственный способ внести изменения в каталог - через портал Azure.
Я не могу найти никаких ссылок на эту конкретную проблему в Интернете, поэтому я подозреваю, что это должно быть что-то странное с моей настройкой. Должно быть, я где-то пропустил шаг. Я проверил все административные экраны, которые я могу найти для AAD, но не могу найти ничего, упоминающего о разрешении записи в домен.
Одна из виртуальных машин работает под управлением Server 2012 R2, а другая - под управлением Server 2016.
Обновление ... Я обнаружил, что хотя я не могу вносить изменения ни в одно из существующих подразделений, групп или пользователей, я могу добавить новое подразделение верхнего уровня, а затем добавить туда, что мне нравится. Это частично решает мою проблему. Однако следующая проблема заключается в том, что эти новые пользователи, которых я добавляю, похоже, не появляются на портале Azure.
Кажется, я могу управлять пользователями либо на портале, либо с помощью утилит управления доменом в Windows, но я не могу сделать и то, и другое.
Я только что обнаружил ... Предупреждение Учетные записи пользователей, группы, учетные записи служб и объекты компьютеров, созданные в пользовательских подразделениях, недоступны в клиенте Azure AD. Другими словами, эти объекты не отображаются с помощью API-интерфейса Azure AD Graph или в пользовательском интерфейсе Azure AD. Эти объекты доступны только в вашем управляемом домене доменных служб Azure AD.
Так что это только одно из ограничений доменных служб AAD.
Привет, насколько мне известно, вы можете присоединиться только к Windows 10 в Azure AD. Вы хотите присоединиться к Azure DS?
Shui Shengbao 7 лет назад
0
Azure Active Directory. Я не уверен, что такое Azure DS.
user1751825 7 лет назад
0
Я включил доменные службы в AD. Это то, что вы подразумеваете под Azure DS?
user1751825 7 лет назад
0
Да. Windows Server 2012 R2 не может присоединиться к Azure AD
Shui Shengbao 7 лет назад
0
Процесс синхронизации между Azure AD и Azure DS является односторонним. Пользователи, созданные Azure DS, не могут синхронизироваться с Azure AD.
Shui Shengbao 7 лет назад
0
1 ответ на вопрос
1
Shui Shengbao
Так что это только одно из ограничений доменных служб AAD.
Учетные записи пользователей, членство в группах и хэши учетных данных синхронизируются между вашим клиентом Azure AD и вашим управляемым доменом доменных служб Azure AD.
Процесс синхронизации также является односторонним / однонаправленным по своей природе. Ваш управляемый домен в основном доступен только для чтения, за исключением любых пользовательских подразделений, которые вы создаете. Поэтому вы не можете вносить изменения в атрибуты пользователя, пароли пользователей или членство в группах в управляемом домене. В результате отсутствует обратная синхронизация изменений из вашего управляемого домена обратно в клиент Azure AD.
Спасибо, это именно то, что мне было нужно. Я не осознавал, что AAD и Azure DS - это несколько разные сервисы. Теперь мне стало понятнее, как они работают вместе.
user1751825 7 лет назад
0