相信大家看到这种上下分集的有点像吐槽,为什么一篇文章就可以搞完的非要分上下集?我之前看别人的博客是真想吐槽,因为真的毫无水准,可能是增加文章数量吧。
我先解释下为什么要分上下集:
上一篇写了绑定域名,安装AAD,这里写部署(实际上我还想分成上中下来写的),大家看得AAD部署很多很多了,但是真的明白了AAD嘛?AAD就是个同步工具,同步用户账号密码,设备等。但是各位真的明白同步密码的含义吗?
在网络上99.95%的博客都是要让你同步密码,甚至你跟21V开工单,都说让你同步密码。但是你真的需要同步密码吗?你真的有必要同步密码吗?你又知道不同步密码的好处吗?
虽然我接下来的文章还是会勾选同步密码,但是我觉得非常有必要跟各位说一下同步密码的问题:
启用同步密码后,恭喜你了,最终用户更改密码后最快需要30分钟才能同步密码到Office365中,那么有人不服了:用户改完密码后我强制AAD同步不久完了吗?再大不了我写了脚本让AAD自动加快同步。但是,你可知5000+user同步一次需要多长时间?上一次同步未完成是无法进行下一次同步的,这样的问题就会有很多。拿着这个问题我开了21V的工单,工程师毫无招架之力,只能以产品设计为由来进行说辞。
那如果不同步密码呢?
上面的问题就迎刃而解,这时候结合ADFS用起来有多爽谁用谁知道,用户改完密码无需同步使用新密码就可以登录Office365,因为所有的验证通过ADFS拉回本地AD来进行验证了。
------------------------------------------------------------------------
以上看看即可,还是来看看AAD部署吧:
选择自定义
指定安装位置和管理员账号
安装组件
重点来了:我这里是勾选的密码同步,如上所述我可以勾选ADFS进行联合身份验证(后面会有博文来描述)
输入Office365的管理员账号
连到本地AD并添加目录
这里是需要一个权限比较大的账号来连接到AD目录
连接到AD后选择使用UPN来作为Azure AD的登录名
选择要同步的OU
选择同步所选OU中的所有用户和设备
在首次配置AAD的时候这里不需要勾选任何功能,待混合完后勾选一次Exchange 混合部署再进行同步一次,AAD并非只能从本地往云端同步,Exchange Online个别属性是可以通过AAD回传到本地AD用户属性中的
以上配置完成后点击同步即可开始同步
也可以打开如下目录的如下工具进行查看实时同步状态
在没有进行AAD同步的时候,活动用户仅有3列
完成AAD同步后,活动用户会多出来一列
到此AAD部署完成。
小总结:
#使用以下命令手动同步;
Start-ADSyncSyncCycle -PolicyType initial 完全同步
Start-ADSyncSyncCycle -PolicyType delta 增量同步
#关闭同步:
Set-MsolDirSyncEnabled -EnableDirSync $false
#开启和关闭同步功能的命令
Set-MsolDirSyncEnabled -EnableDirSync $false/$true
开启AAD同步不需要手动敲命令,AAD工具会自动帮你完成,当你要拆掉AAD的时候,请记得使用以上命令关闭AAD同步。
同时建议使用idfix工具先对AD做一次检查,会找出来AD中命名不规范如有空格,或名字冲突的账号,处理完这些账号再进行同步谁用谁知道有多爽!
