Active-Directory
帳戶不存在的 Active Directory ADSync 錯誤
我有一個奇怪的 ADSync 錯誤,指出我的本地活動目錄包含兩個具有相同 ProxyAddress 屬性的對象。其中一個帳戶是使用者名@domain.tld(這是正確的),第二個是使用者名@domain.onmicrosoft.com(我認為在 AD 中不存在) - 根據 DirSync 錯誤報告,它們都包含相同的衝突的 ProxyAddress使用者名@domain.tld。AzureAD 顯示這兩個帳戶都來自本地 Active Directory。關鍵是有人可以在幾年前創建 *onmicrosoft.com 帳戶來測試 office365。
到目前為止,我已經檢查了兩件事:
- 用於測試本地 AD 中相同代理地址的小型 powershell 腳本:
Get-ADUser -Filter * -Properties proxyAddresses | foreach { foreach($address in $_.proxyAddresses) { if ($address -eq 'smtp:username@domain.tld') { Write-Host $address } } }
- 檢查衝突帳戶的不可變 ID:
$user = Get-ADUser legit_account $immutableid = [System.Convert]::ToBase64String($user.ObjectGUID.tobytearray()) $immutableid #shows the same as legit account in DirSync report $badImmutableID = 'base64 copied from bad account DirSync error report==' $users = get-aduser -Filter * foreach ($usr in $users) { $currImmutableID = [System.Convert]::ToBase64String($usr.ObjectGUID.tobytearray()) if ($currImmutableID -eq $badImmutableID) { $usr } }此腳本不提供具有錯誤 immutableID 的輸出(但可與其他腳本一起使用)。
我實際上被困在這一點上 - AzureAD 不會讓我刪除壞帳戶來解決衝突,說我必須在本地 AD 中解決它,而沒有這樣的帳戶。任何想法將不勝感激。
您需要在刪除該不良帳戶之前禁用 AD 同步,
步驟 1 – 為 Windows PowerShell 安裝 Azure Active Directory 模組
Install-Module -Name MSOnline Install-Module -Name AzureAD第 2 步- 連接到 Azure AD
Connect-MsolService第 3 步- 禁用目錄同步
Set-MsolDirSyncEnabled –EnableDirSync $false第 4 步– 檢查目錄同步狀態
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled繼續定期執行此 cmdlet,直到它返回 False,然後轉到下一步。請注意,Azure AD 在此期間將無法使用。
第 5 步- 刪除孤立對象
Remove-MsolUser -UserPrincipalName user@domain.onmicrosoft.com第 6 步– 啟用目錄同步
Set-MsolDirSyncEnabled -EnableDirSync $true此處的詳細資訊:您無法管理或刪除通過 Azure Active Directory 同步工具同步的對象
編輯: - 警告: 正如 Cyrill U 所指出的,再次啟用同步可能需要長達 72 小時,因此在此過程之前必須考慮到這一點。