0

我之前(成功地)创建了一个 Windows Azure Active Directory,添加了一个自定义域,并使用本地 ADFS2.0 服务器将其配置为单点登录和目录同步。到目前为止,一切都很好。

意识到我应该将自定义域附加到现有的 WAAD 而不是新的,然后我决定删除新的。为确保不存在删除本地 AD 中任何对象的风险,我首先删除了本地 ADFS 服务器上的信任关系。

不幸的是,这让我现在无法使用 Azure Active Directory PowerShell cmdlet 来管理 WAAD - Connect-MSOLService 要么返回“异常类型‘Microsoft.Online.Administration.Automation.MicrosoftOnlineException’被抛出。” 如果我使用订阅所有者的 Microsoft 帐户凭据(但电子邮件地址恰好与我添加的自定义域位于同一域中),或者“用户名或密码不正确。验证您的用户名,然后尝试再次”,如果我使用该目录的另一个全局管理员的凭据,其电子邮件地址不在自定义域上。

两组凭据都允许成功登录门户。

不幸的是,我现在无法删除 WAAD,因为它包含对象 - 并且没有 PowerShell 访问权限,我不相信我可以在删除信任之前批量删除从本地同步的约 500 个用户和组。

知道如何恢复信任关系、成功连接 PowerShell 或删除不需要的目录吗?

非常感谢!

4

1 回答 1

2

尝试以下操作(我确信您已经完成了大部分操作,但也许您错过了一步):

  1. 登录到 Azure 门户 ( https://manage.windowsazure.com ) 并导航到活动目录。
  2. 选择您无法通过 PowerShell 访问的目录,然后单击添加用户。
  3. 在“用户类型”下,选择“组织中的新用户”并在初始域下选择一个用户名(例如admin@contoso.onmicrosoft.com)。
  4. 填写下一页,并确保您分配了“全局管理员”的角色。确保在最后一步复制密码。
  5. 创建用户后,您需要重置密码。一个简单的方法是启动一个新的浏览器会话并导航到https://portal.microsoftonline.com。系统将提示您重置密码。
  6. 现在转到 PowerShell 并尝试Connect-MsolService使用您刚刚创建的新用户帐户。您现在应该能够移除所有对象。

几点注意事项:

  • 即使您能够通过 Azure 门户将 Microsoft 帐户 (MSA) 添加到您的目录,目前也不支持将用户帐户用于其他任何事情,包括 PowerShell。
  • 每个目录都有一个以“.onmicrosoft.com”结尾的初始域。
  • 如果有任何用户使用该域,您将无法删除该域。如果不是这种情况,您可以使用 Azure 门户(“DOMAINS”部分)删除域,然后忘记该目录。
  • 正如@Rick Rainey 所说,您目前无法删除目录,但可以将其留空。
  • 目前,DirSync 是一种单向同步,其中一切都在本地掌握。
于 2014-02-18T20:40:15.307 回答