Azure AD - Não é possível fazer alterações no diretório da VM associada ao domínio

0

Eu configurei um AD do Azure e consegui unir minhas instâncias de RM VM com sucesso a esse domínio. No entanto, mesmo quando logado com uma conta de administrador global, não posso fazer alterações no diretório. Eu não tenho as opções para adicionar ou remover usuários ou grupos, ou Unidades Organizacionais, etc. O Diretório parece ser somente leitura.

A única maneira de fazer alterações no diretório é através do portal do Azure.

Eu não consigo encontrar nenhuma referência a este problema específico em qualquer lugar online, então eu suspeito que deve ser algo estranho com a minha configuração. Eu devo ter perdido um passo em algum lugar. Verifiquei todas as telas de administração que posso encontrar para o AAD, mas não consigo encontrar nada que permita acesso de gravação ao domínio.

Uma das VMs está executando o Server 2012 R2 e a outra está executando o Server 2016.

Atualizar ... Descobri que, embora não possa fazer alterações em nenhuma UO, grupo ou usuário existente, posso adicionar uma nova UO de nível superior e, em seguida, adicionar o que quiser. Isso resolve parcialmente o meu problema. No entanto, a próxima questão é que esses novos usuários que adiciono não parecem aparecer no Portal do Azure.

Parece que posso gerenciar usuários no portal ou usando os utilitários de gerenciamento de domínio do Windows, mas não posso fazer os dois.

Acabei de encontrar isso ... Aviso Contas de usuário, grupos, contas de serviço e objetos de computador que você cria em unidades organizacionais personalizadas não estão disponíveis em seu locatário do Azure AD. Em outras palavras, esses objetos não aparecem usando a API do Graph do Azure AD ou na interface do usuário do Azure AD. Esses objetos só estão disponíveis no domínio gerenciado dos Serviços de Domínio do Azure AD.

Portanto, isso parece ser apenas uma das limitações dos Serviços de Domínio AAD.

    
por user1751825 09.03.2017 / 08:39

1 resposta

1

So this just seems to be one of the limitations of AAD Domain Services.

Sim, é melhor você entender Sincronização do locatário do Azure AD com o domínio gerenciado

Contas de usuário, associações a grupos e hashes de credenciais são sincronizados do seu locatário do Azure AD para o domínio gerenciado dos Serviços de Domínio do Azure AD.

O processo de sincronização também é unidirecional / unidirecional. O domínio gerenciado é em grande parte somente leitura, exceto por qualquer UO personalizada criada por você. Portanto, você não pode fazer alterações em atributos do usuário, senhas de usuários ou associações a grupos no domínio gerenciado. Como resultado, não há sincronização reversa de alterações do seu domínio gerenciado para o locatário do Azure AD.

    
por 09.03.2017 / 09:23