Windows 10 AAD Azure 廣告域加入和 SMB 共享

我有許多 Windows 10 客戶端域加入了 azure ad，我仍然有一個本地 Windows 2012 r2 伺服器，我希望從 Windows 10 客戶端映射到多個共享。但是，如果我嘗試從客戶端訪問 UNC 路徑，如果我將憑據添加到憑據管理器，我會得到“您無權訪問伺服器”。如果我嘗試使用驅動器映射嚮導，它會顯示“網路文件夾是使用不同的使用者映射的”，即使沒有與伺服器的其他連接。

我以前遇到過這個問題。本質上，您希望能夠擺脫本地域控制器 (DC)，因為您可以將筆記型電腦和工作站加入 Azure。

那是對 Azure 的錯誤理解。

您仍然需要 DC（雲中的虛擬機 (VM) 或物理伺服器）。

該 DC 安裝並配置了 Azure Active Directory (AAD) Connect。這會在 AD 中創建一個與 AAD 同步帳戶和密碼的帳戶。

當加入 AAD 的電腦登錄時，它會向 AAD 發送登錄請求。AAD 然後根據從 AD 同步的資訊驗證該身份驗證請求。

因此，如果您有工作站和筆記型電腦加入 AAD，並且他們嘗試訪問與 AAD 同步的域不同的伺服器上的共享，則需要提供託管資源的伺服器中存在的憑據。試圖訪問。

有一些正確的方法可以做到這一點，我會給你兩個。

1. 如果客戶端位於單個位置並且將始終與 DC 位於同一位置，則定期將它們加入域。對於將在其他位置使用的客戶端，將這些電腦加入 AAD 並在 DC 中安裝 AAD Connect。
2. 如果您想將所有伺服器移出您的辦公室，請在 Azure 中為您的 DC 啟動一個 VM，並在您的 VM 前面部署一個雲防火牆。在雲防火牆和辦公室防火牆之間創建站點到站點虛擬專用網路 (VPN)。現在像往常一樣將始終在辦公室中的電腦加入域，將要遠端使用的電腦加入 AAD，並在 DC 上安裝 AAD Connect。

引用自：https://serverfault.com/questions/887759