2021-網域升級(8)-AAD 啟用密碼回寫

在這次整個AD升級的最後一個目的就是要將AAD密碼回寫功能啟用

此步驟是我的廠商幫我紀錄的所以給大家參考

啟用目的地為內部部署環境的 Azure Active Directory 自助式密碼重設回寫

https://docs.microsoft.com/zh-tw/azure/active-directory/authentication/tutorial-enable-sspr-writeback

設定 Azure AD Connect 的帳戶權限

重設密碼

lockoutTime 的 寫入權限

pwdLastSet 的 寫入權限

在該樹系中「每個網域」的根物件上,「未到期密碼」的 延伸權限 (如果尚未設定)。

若要設定適當權限以進行密碼回寫,請完成下列步驟:

1. 在內部部署 AD DS 環境中,使用有適當 網域系統管理員 權限的帳戶,開啟 [Active Directory 使用者和電腦]。

2. 從 [檢視] 功能表中,確定已開啟 [進階功能]。

3. 在左面板中,以滑鼠右鍵選取代表網域根目錄的物件,然後選取 [屬性] > [安全性] > [進階]。

4. 從 [權限] 索引標籤中,選取 [新增]。

clip_image002

5. 在 [主體] 中,選取要套用權限的帳戶 (Azure AD Connect 所使用的帳戶)。

6. • 在 [套用至] 下拉式清單中,選取 [下階使用者物件]。

7. • 在 [權限] 底下,選取下列選項的方塊:

8. 重設密碼

9. 在 [屬性] 底下,選取下列選項的方塊。捲動清單來尋找這些可能已依預設完成設定的選項:

寫入 lockoutTime

寫入 pwdLastSet

clip_image004

clip_image006

clip_image008

內部部署 AD DS 環境中的密碼原則可能會導致密碼重設無法正確進行處理。 若要讓密碼回寫最有效地運作,[密碼最短存留期] 的群組原則必須設定為 0。 此設定可在 gpedit.msc 內的 > [電腦設定] > [原則] > [Windows 設定] > [安全性設定] > [帳戶原則] 底下找到。

clip_image010

若有子網域也要作相同的權限調整

clip_image012

clip_image014

clip_image016

clip_image018

clip_image020

Azure AD Connect 中啟用密碼回寫

Azure AD Connect 中的其中一個設定選項會用於密碼回寫。 啟用此選項時,密碼變更事件會導致 Azure AD Connect 將已更新的認證同步回內部部署 AD DS 環境。

若要啟用 SSPR 回寫,請先在 Azure AD Connect 中啟用回寫選項。從 Azure AD Connect 伺服器完成下列步驟:

  1. 登入 Azure AD Connect 伺服器,然後啟動 Azure AD Connect 設定精靈。
  2. 在 [歡迎] 頁面上,選取 [設定]。
  3. 在 [其他工作] 頁面上,選取 [自訂同步處理選項],然後選取 [下一步]。

clip_image022

  1. 在 [連線到 Azure AD] 頁面上,輸入 Azure 租用戶的全域管理員認證,然後選取 [下一步]。

clip_image024

  1. 在 [連線目錄] 和 [網域/OU] 篩選頁面上,選取 [下一步]。

clip_image026

clip_image028

  1. 在 [選用功能] 頁面上,選取 [密碼回寫] 旁邊的方塊,然後選取 [下一步]。

clip_image030


clip_image032

clip_image034


clip_image036

clip_image038


啟用 SSPR 的密碼回寫

由於 Azure AD Connect 已啟用密碼回寫,現在請設定要用於回寫的 Azure AD SSPR。 當您啟用 SSPR 以使用密碼回寫時,變更或重設其密碼的使用者也會將已更新的密碼同步回內部部署 AD DS 環境。

若要在 SSPR 中啟用密碼回寫,請完成下列步驟:

  1. 使用全域系統管理員帳戶登入 Azure 入口網站
  2. 搜尋並選取 [Azure Active Directory]。

clip_image040

  1. 、選取 [密碼重設],然後選擇 [內部部署整合]

clip_image042

  1. 將 [將密碼寫回至內部部署目錄?] 的選項設定為 [是]。
  2. 將 [允許使用者在不重設密碼的情況下解除鎖定帳戶?] 的選項設定為 [是]。

clip_image044

 

今年我公司AD升級計畫已經達成我想做的

1.把windows 2008 DC 從整各個樹系中移除,且接替的DC也已windows 2012 R2為主。

2.因硬體關係所以在其中一個小辦公區site的windows 2008 R2 還沒有處理完明年度再繼續。

3.會比較慢的原因是內部還有exchange 2010。

或許有資深朋友說 AD 還有2008 R2 exchane 2010 應該要趕快處理,但是每間公司都有一些故事,所以我已經盡力至少在我到職後努力在處理一點一點改善。比如少了2008 AD  多了一台exchage 2013 hybrid 將信箱班上雲端。



本篇瀏覽人數: 497
分類: 2021-AD-upgade, 公司網域升級筆記。這篇內容的永久連結

在〈2021-網域升級(8)-AAD 啟用密碼回寫〉中有 1 則留言

  1. 虔誠表示:

    榮哥 超厲害

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *