使用 Azure AD Connect 時，AD 使用者組的某些組成員未同步

當我們開始將本地 AD 同步到 Azure AD 實例時，我們注意到在某些情況下，Azure AD 上的組不包含本地組擁有的所有成員。

經過 IdFix 的建議，我們找不到這種不匹配的原因。所有使用者均已正確同步。

我們發現，如果本地 AD 中使用者的主組不是“域使用者”，則這些使用者的組成員身份的同步是不可預測的。

預設情況下，Active Directory 使用者的主要組是Domain Users。除非您有 Macintosh 客戶端或符合 POSIX 的應用程序，否則無需更改主組。

如果將預設的 Primary Group 更改為新的，例如有兩個使用者：aadu01和aadu02，這兩個使用者都屬於組aadg。使用者aadu02，將組aadg設置為主要組（見截圖 1），然後，組aadg的成員屬性將排除使用者aadu02，並且只有使用者aadu01將包含在成員屬性中（見截圖 2）。

在 Azure AD Connect 同步期間，組的成員屬性將同步到 Azure AD，並且根據成員屬性，只有使用者aadu01將與組aadg關聯。

但是，如果使用者包含在同步範圍內，例如使用者、域使用者等，使用者aadu02仍然可以同步到 Azure AD，但不會顯示在組 aadg 中。

要解決此問題，建議將主要組更改為域使用者。

截圖 1

截圖 2

引用自：https://serverfault.com/questions/830378