将 Azure AD 用户同步到本地 AD

Azure AD Connect 是一款出色的工具，可将 AD 本地对象同步到 Azure AD。如果直接在云端创建用户对象，没有AD本地对象怎么办？ Azure AD Connect 不会在本地 AD 中创建用户。删除云用户并在本地重新创建是一种方法，但如果用户将该帐户用于 Exchange Online、Teams、SharePoint 和更多服务，该怎么办？在本文中，我们将了解如何将 Azure AD 用户同步到本地 AD，而不删除 Azure AD 用户。

在本地创建 AD 对象的正确方法

当您拥有混合环境时，必须在本地创建 AD 对象。这是因为 Azure AD Connect 软件会将本地 AD 对象同步到 Azure AD。不这样做将会导致帐户出现问题。不仅如此，当您想要检查 AD 对象时，它不会给出精确的报告。

请参阅以下有关如何从本地创建 AD 云对象的文章：

• 在 Exchange 混合中创建 Office 365 邮箱

• 在 Exchange 混合中创建 Office 365 共享邮箱

• 在 Exchange 混合中创建 Office 365 资源邮箱

• 在 Exchange 混合中批量创建 Office 365 邮箱

检查 AD 对象同步状态

假设 AD 本地对象不存在，并且用户是在云中创建的。用户已使用该帐户并且在 Exchange Online 邮箱中拥有数据。不仅如此，Sharepoint、Teams 等也同样如此。

要检查用户同步状态，请执行以下步骤：

1. 登录 Microsoft 365 管理中心

2. 展开用户并点击活跃用户

3. 启用同步状态列

4. 搜索用户

5. 查找同步状态

同步状态将显示以下内容之一：

• 在云端

• 从本地同步

下面的屏幕显示用户Carol Baker在云中并且未从本地 AD 同步。但是，其他两个用户从本地同步。

那么我们如何将云端对象更改为从本地同步呢？让我们看看下一步如何将 Azure AD 用户同步到本地 AD。

如何将 Azure AD 用户同步到本地 AD

要将 Azure AD 用户同步到本地 AD，请执行以下步骤：

步骤 1. 创建本地 AD 用户对象

创建与云对象相同的 AD 对象至关重要：

1. 用户登录名 (UserPrincipalName)

2. 电子邮件

3. 代理地址

创建本地 AD 用户对象并填写详细信息。确保您填写的用户登录名与云对象相同。

注意：密码将重置为您在本地 AD 中创建的密码。因此，最好在应用更改之前通知用户。然后，用户可以稍后重置密码。

填写与云对象相同的电子邮件。

填写代理地址。

如果用户有别名，请添加它们。请记住，SMTP（大写字母）是主电子邮件地址，smtp（小写字母）是别名。

步骤 2. 强制 Azure AD 同步

登录到 Azure AD Connect 服务器并强制使用 PowerShell 进行增量同步。

PS C:\> Start-ADSyncSyncCycle -PolicyType Delta

Result
------
Success

步骤 3. 检查 Azure AD Connect 同步服务

在 Azure AD Connect 服务器上启动 Azure AD Connect 同步服务管理器。验证它是否将本地 AD 用户对象添加到 Azure AD 并且没有错误。

单击专有名称。

验证它是否添加了 AD 对象。

步骤 4. 验证 AD 对象同步状态

在进入 Microsoft 365 管理中心并检查同步状态之前，最好给 Azure AD Connect 同步服务一点时间（5-10 分钟）。

Microsoft 365 管理中心将同步状态显示为从本地同步。

步骤 5. 验证 objectGUID 和 ImmutableID 属性

另一种方法是将本地 AD 属性 objectGUID 与 Azure AD 属性 ImmutableId 进行比较。它们需要完全匹配。

注意：本地 AD 对象值是 GUID，而 Azure AD 是 base64 编码的文本字符串。因此，您必须将 base64 转换为 GUID 或反之以比较值。

以管理员身份运行 PowerShell 并运行 Get-ADUser cmdlet 以获取广告用户 objectGUID。

objectGUID 为c7bb8a7c-26ca-43ec-ad28-d1f09acf433c。

PS C:\> Get-ADUser "Carol.Baker" | fl UserPrincipalName,objectGUID


UserPrincipalName : Carol.Baker@exoip.com
objectGUID        : c7bb8a7c-26ca-43ec-ad28-d1f09acf433c

以管理员身份运行 PowerShell 并连接到 Azure AD。

PS C:\> Connect-MsolService

运行 Get-MsolUser cmdlet 以获取广告用户 ImmutableId。

ImmutableID 为 fIq7x8om7EOtKNHwms9DPA==。

PS C:\> Get-MsolUser -UserPrincipalName "Carol.Baker@exoip.com" | fl UserPrincipalName,ImmutableId

UserPrincipalName : Carol.Baker@exoip.com
ImmutableId       : fIq7x8om7EOtKNHwms9DPA==

复制 ImmutableID 并将其粘贴到以下命令中，以将 base64 字符串转换为 GUID。

PS C:\> [GUID][system.convert]::FromBase64String("fIq7x8om7EOtKNHwms9DPA==")

Guid
----
c7bb8a7c-26ca-43ec-ad28-d1f09acf433c

假设您要将 GUID 转换为 Base64 字符串，请复制 GUID 并将其粘贴到以下命令中。

PS C:\> [Convert]::ToBase64String([guid]::New("c7bb8a7c-26ca-43ec-ad28-d1f09acf433c").ToByteArray())

fIq7x8om7EOtKNHwms9DPA==

本地 AD 对象和 Azure AD 对象相同。

步骤 6. 使云邮箱在本地 Exchange 中可见

确保按照 Office 365 邮箱未显示在本地 Exchange 混合中一文，使云邮箱在本地 Exchange 中可见。

了解更多：查找 Azure AD Connect 帐户 »

结论

您了解了如何从 Azure AD 同步丢失的本地 AD 对象。创建本地 AD 对象并将其与 Azure AD Connect 同步。确保没有错误并验证属性 GUID 和 ImmutableId 是否匹配。通过这样做，无需在本地删除和重新创建 AD 对象并将其同步到 Azure AD。这需要时间，并且您必须导出和导入所有设置。

您喜欢这篇文章吗？您可能还喜欢升级 Azure AD Connect。不要忘记关注我们并分享这篇文章。