0

我们有一个本地活动目录。环境被黑客入侵,域控制器被恢复到根据法医人员所说的干净的备份。

为了更好地解释,我们假设黑客攻击发生在 10 月 1 日,而它恢复到的备份是从 9 月 1 日开始的。

在 9 月 1 日之前创建和同步的所有本地帐户都可以。在 9 月 1 日至 10 月 1 日之间创建和同步的所有本地帐户都会在本地丢失。一个新的 AADC 实例已安装、配置并愉快地同步。由于某种原因,当 AADC 再次开始同步时,9 月 1 日之后和 10 月 1 日之前创建的帐户并没有在云中删除。我们不知道为什么。但是,它们不再存在于场所中。应该再次创建这些本地帐户,以便他们可以访问本地资源。我查看了有关 AADC 中软/硬匹配的 Microsoft 文档:Azure AD Connect:当您已经拥有 Azure AD | 微软文档

它指出,如果可能,新导入到 AADC 的对象将进行硬匹配或软匹配,之后,AAD 会将它们标记为“目录同步”。它还指出:匹配仅针对来自 Connect 的新对象进行评估。如果您更改现有对象以使其与这些属性中的任何一个匹配,那么您会看到一个错误。我的问题是:如果我们在云中拥有标记为“已同步目录”的帐户并在本地创建它们,AADC 是否会将其视为“新对象”并进行硬匹配或软匹配?或者这会导致云中的重复帐户或上述错误吗?如果我们在本地停止 AADC 同步服务,则在本地创建帐户并为新创建的本地帐户分配相同的“sourceAnchor/immutableID”

谢谢!!!

4

1 回答 1

0

• 首先,即使使用Azure AD Connect,从今天起也无法实现反向同步,即将用户身份从Azure AD 同步到本地AD。只有少数属性可以写回,并且主要用于混合配置,如果您启用了相应的功能(和许可证),则可以使用密码。因此,在您的情况下,如果您在 Azure AD Connect 中启用了“密码写回”和“密码哈希同步”,那么只有您可以通过 Azure AD 在本地编辑用户的这些属性。此外,如果这是您想要的,您可以简单地通过 PowerShell (Get-MsolUser/Get-AzureADUser) 或 Graph API 导出用户列表以及任何相关属性,然后使用导出的数据在 AD 中重新创建它们(再次,PowerShell 有帮助)。您不能导出密码。导出/导入完成后,您可以将本地用户与云用户“匹配”,并为他们提供 SSO 体验。该过程称为软匹配。两种环境之间的另一种同步类型称为硬匹配。您可以在下面的链接中找到更多详细信息:-

https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-existing-tenant#sync-with-existing-users-in-azure-ad

• 但是您可以尝试以下链接中给出的方法,即创建那些在当月创建但备份不可用的用户,并确保他们的域后缀和电子邮件以及别名属性与同步时相同该月的 Azure AD。因此,当您创建相同的用户、主 SMTP、电子邮件、别名和域后缀时,您可能能够再次将这些用户的身份同步到之前在 Azure AD 中同步(创建)的相同身份。请参阅以下链接了解详细步骤:-

https://support.microsoft.com/en-us/topic/how-to-use-smtp-matching-to-match-on-premises-user-accounts-to-office-365-user-accounts-for-目录同步-75673b94-e1b8-8a9e-c413-ee5a2a1a6a78

https://www.slashadmin.co.uk/how-to-sync-an-existing-office365-tenant-into-a-new-active-directory-domain/

于 2021-11-23T12:38:55.107 回答