Через несколько лет go мы приняли решение о переносе нашего локального Active Directory и Ms Exchange в облако, и это было сделано с помощью настройки гибридного развертывания с федерацией.
В конце концов, мы успешно мигрировали на MSO 365 и Azure всех пользователей и их почтовые ящики и сломали гибрид в точности так, как это было описано в пошаговой инструкции, предоставленной г-жой. В общем, это было легко для пользователей, и с тех пор проблем нет.
Мы начали сталкиваться с проблемами с Windows 10 рабочими областями пользователей, которые решили присоединиться к Azure Active Directory. Это касается только старых пользователей, которые были синхронизированы с MSO365 через AdSyn c. Новые пользователи в облаке в порядке. Проблема в том, что присоединенный блок Windows 10 извлекает информацию о старом временном домене, к которому пользователь много лет принадлежал. go.
Это то, что я вижу на только что установленном и присоединенном к нему AAD Win10 и зарегистрирован как пользователь AAD:
1) Переменные Env:
USERDNSDOMAIN=DOMAIN.local
USERDOMAIN=DOMAIN
USERDOMAIN_ROAMINGPROFILE=DOMAIN
2) dsregcmd / status (я заменил реальный данные с подстановочными знаками)
C:\Users\*******>dsregcmd /status
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : NO
+----------------------------------------------------------------------+
| Device Details |
+----------------------------------------------------------------------+
DeviceId : ***************************************
Thumbprint : ***************************************
DeviceCertificateValidity : [ 2020-04-03 08:26:12.000 UTC -- 2030-04-03 08:56:12.000 UTC ]
KeyContainerId : **************************************
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
+----------------------------------------------------------------------+
| Tenant Details |
+----------------------------------------------------------------------+
TenantName : *****
TenantId : **************************
Idp : login.windows.net
AuthCodeUrl : https://login.microsoftonline.com/************************************/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/************************************/oauth2/token
MdmUrl : https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc
MdmTouUrl : https://portal.manage.microsoft.com/TermsofUse.aspx
MdmComplianceUrl : https://portal.manage.microsoft.com/?portalAction=Compliance
SettingsUrl : *************************************************************************
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/********************************/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVer : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/*******************************/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {*****************************}
CanReset : NO
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : {******************************} (AzureAd)
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-04-06 13:08:06.000 UTC
AzureAdPrtExpiryTime : 2020-04-20 13:11:41.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/d****************************
EnterprisePrt : NO
EnterprisePrtAuthority :
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
AadRecoveryEnabled : NO
KeySignTest : PASSED
Таким образом, компьютер не сообщает, что окно присоединено к предварительному домену.
3) Также я вижу те же старые метаданные под моим пользователем AAD с помощью графического запроса: https://graph.microsoft.com/beta/me (кстати, v1.0 не возвращает эту информацию)
"@odata.context": "https://graph.microsoft.com/beta/$metadata#users/$entity",
"id": "***************************",
"deletedDateTime": null,
"accountEnabled": true,
"ageGroup": null,
"businessPhones": [],
"city": "*****",
"createdDateTime": "2015-04-09T18:23:32Z",
"creationType": null,
"companyName": null,
"consentProvidedForMinor": null,
"country": "*******",
"department": "**********",
"displayName": "************",
"employeeId": null,
"faxNumber": null,
"givenName": "*******",
"imAddresses": [
"*****@*****.***"
],
"isResourceAccount": null,
"jobTitle": "********",
"legalAgeGroupClassification": null,
"mail": "******@******.****",
"mailNickname": "*******",
"mobilePhone": "******************",
"onPremisesDistinguishedName": null,
"officeLocation": "**********",
"onPremisesDomainName": "DOMAIN.local",
"onPremisesImmutableId": null,
"onPremisesLastSyncDateTime": null,
"onPremisesSecurityIdentifier": "S-1-5-21-***********************",
"onPremisesSamAccountName": "********",
"onPremisesSyncEnabled": null,
"onPremisesUserPrincipalName": null,
"otherMails": [
"********@*********.******"
],
Пожалуйста, посмотрите на раздел с элементами onPremises ***.
Так вот как моя чистая Windows 10 получает данные о закопанном в течение длительного времени go. Эта проблема ломает многие устаревшие приложения, которые пытаются использовать NTLM (он сразу начинает использовать DOMAIN \ User)
Так что мой вопрос к глобальному мозгу состоит в том, как стереть его с учетной записи, которая была синхронизирована с облаком, без создавая их. Я пытался спросить Microsoft в прошлом, но безуспешно. Нет, в моей прошлой попытке г-жа поддержка предложила мне обратиться к сообществу :) Я буду признателен за любую помощь идей. Спасибо.