Network-Share
Windows 10 AAD Azure 廣告域加入和 SMB 共享
我有許多 Windows 10 客戶端域加入了 azure ad,我仍然有一個本地 Windows 2012 r2 伺服器,我希望從 Windows 10 客戶端映射到多個共享。但是,如果我嘗試從客戶端訪問 UNC 路徑,如果我將憑據添加到憑據管理器,我會得到“您無權訪問伺服器”。如果我嘗試使用驅動器映射嚮導,它會顯示“網路文件夾是使用不同的使用者映射的”,即使沒有與伺服器的其他連接。
我以前遇到過這個問題。本質上,您希望能夠擺脫本地域控制器 (DC),因為您可以將筆記型電腦和工作站加入 Azure。
那是對 Azure 的錯誤理解。
您仍然需要 DC(雲中的虛擬機 (VM) 或物理伺服器)。
該 DC 安裝並配置了 Azure Active Directory (AAD) Connect。這會在 AD 中創建一個與 AAD 同步帳戶和密碼的帳戶。
當加入 AAD 的電腦登錄時,它會向 AAD 發送登錄請求。AAD 然後根據從 AD 同步的資訊驗證該身份驗證請求。
因此,如果您有工作站和筆記型電腦加入 AAD,並且他們嘗試訪問與 AAD 同步的域不同的伺服器上的共享,則需要提供託管資源的伺服器中存在的憑據。試圖訪問。
有一些正確的方法可以做到這一點,我會給你兩個。
- 如果客戶端位於單個位置並且將始終與 DC 位於同一位置,則定期將它們加入域。對於將在其他位置使用的客戶端,將這些電腦加入 AAD 並在 DC 中安裝 AAD Connect。
- 如果您想將所有伺服器移出您的辦公室,請在 Azure 中為您的 DC 啟動一個 VM,並在您的 VM 前面部署一個雲防火牆。在雲防火牆和辦公室防火牆之間創建站點到站點虛擬專用網路 (VPN)。現在像往常一樣將始終在辦公室中的電腦加入域,將要遠端使用的電腦加入 AAD,並在 DC 上安裝 AAD Connect。