在這次整個AD升級的最後一個目的就是要將AAD密碼回寫功能啟用
此步驟是我的廠商幫我紀錄的所以給大家參考
啟用目的地為內部部署環境的 Azure Active Directory 自助式密碼重設回寫
設定 Azure AD Connect 的帳戶權限
重設密碼
lockoutTime 的 寫入權限
pwdLastSet 的 寫入權限
在該樹系中「每個網域」的根物件上,「未到期密碼」的 延伸權限 (如果尚未設定)。
若要設定適當權限以進行密碼回寫,請完成下列步驟:
1. 在內部部署 AD DS 環境中,使用有適當 網域系統管理員 權限的帳戶,開啟 [Active Directory 使用者和電腦]。
2. 從 [檢視] 功能表中,確定已開啟 [進階功能]。
3. 在左面板中,以滑鼠右鍵選取代表網域根目錄的物件,然後選取 [屬性] > [安全性] > [進階]。
4. 從 [權限] 索引標籤中,選取 [新增]。
5. 在 [主體] 中,選取要套用權限的帳戶 (Azure AD Connect 所使用的帳戶)。
6. • 在 [套用至] 下拉式清單中,選取 [下階使用者物件]。
7. • 在 [權限] 底下,選取下列選項的方塊:
8. 重設密碼
9. 在 [屬性] 底下,選取下列選項的方塊。捲動清單來尋找這些可能已依預設完成設定的選項:
寫入 lockoutTime
寫入 pwdLastSet
內部部署 AD DS 環境中的密碼原則可能會導致密碼重設無法正確進行處理。 若要讓密碼回寫最有效地運作,[密碼最短存留期] 的群組原則必須設定為 0。 此設定可在 gpedit.msc 內的 > [電腦設定] > [原則] > [Windows 設定] > [安全性設定] > [帳戶原則] 底下找到。
若有子網域也要作相同的權限調整
在 Azure AD Connect 中啟用密碼回寫
Azure AD Connect 中的其中一個設定選項會用於密碼回寫。 啟用此選項時,密碼變更事件會導致 Azure AD Connect 將已更新的認證同步回內部部署 AD DS 環境。
若要啟用 SSPR 回寫,請先在 Azure AD Connect 中啟用回寫選項。從 Azure AD Connect 伺服器完成下列步驟:
- 登入 Azure AD Connect 伺服器,然後啟動 Azure AD Connect 設定精靈。
- 在 [歡迎] 頁面上,選取 [設定]。
- 在 [其他工作] 頁面上,選取 [自訂同步處理選項],然後選取 [下一步]。
- 在 [連線到 Azure AD] 頁面上,輸入 Azure 租用戶的全域管理員認證,然後選取 [下一步]。
- 在 [連線目錄] 和 [網域/OU] 篩選頁面上,選取 [下一步]。
- 在 [選用功能] 頁面上,選取 [密碼回寫] 旁邊的方塊,然後選取 [下一步]。
啟用 SSPR 的密碼回寫
由於 Azure AD Connect 已啟用密碼回寫,現在請設定要用於回寫的 Azure AD SSPR。 當您啟用 SSPR 以使用密碼回寫時,變更或重設其密碼的使用者也會將已更新的密碼同步回內部部署 AD DS 環境。
若要在 SSPR 中啟用密碼回寫,請完成下列步驟:
- 使用全域系統管理員帳戶登入 Azure 入口網站。
- 搜尋並選取 [Azure Active Directory]。
- 、選取 [密碼重設],然後選擇 [內部部署整合]
- 將 [將密碼寫回至內部部署目錄?] 的選項設定為 [是]。
- 將 [允許使用者在不重設密碼的情況下解除鎖定帳戶?] 的選項設定為 [是]。
今年我公司AD升級計畫已經達成我想做的
1.把windows 2008 DC 從整各個樹系中移除,且接替的DC也已windows 2012 R2為主。
2.因硬體關係所以在其中一個小辦公區site的windows 2008 R2 還沒有處理完明年度再繼續。
3.會比較慢的原因是內部還有exchange 2010。
或許有資深朋友說 AD 還有2008 R2 exchane 2010 應該要趕快處理,但是每間公司都有一些故事,所以我已經盡力至少在我到職後努力在處理一點一點改善。比如少了2008 AD 多了一台exchage 2013 hybrid 將信箱班上雲端。
本篇瀏覽人數: 3657
榮哥 超厲害