krake79
Goto Top

AAD sync AD - Zugriff lokale Freigaben und GPOs

Hi,
habe eine lokales AD. (Firma.de)
Eine Entra Domain (Firma.de) (eigentlich nur für Exchange)
Sync läuft erfolgreich.

Wenn ich die PCs wie herkommlich mit der Domain verbinde, ist alles "schön".

Wie ist es aber nun gedacht, wenn ich einen neuen Arbeitsplatz bei der Installation mit AAD-Account einrichte, bzw. bei der Installation anmelde.

Auch wenn ich mich im lokalen LAN befinde, werden die AD-GPOs nicht abgearbeitet.
Der PC taucht ja auch gar nicht im AD auf, nur im AAD.

Wie ist das von MS gewollt oder vorgesehen?

Würde gern lokale Netzlaufwerke via GPO verbinden.
Aber auch nicht via GPO ist das gar nicht "so einfach".

Greife ich via \\Server.firma.de\Freigabe drauf zu öffnet sich das Anmeldefenster.
Damit ist der User dann schon überfordert.

Wenn ich mich mit der PIN anmelde, erhalte ich sogar die Fehlermeldung das der DC nicht erreichbar ist.
Wenn ich mit aber mit anderem User: firma.de\Username und PC authenifiziere geht es.

Kann es vielleicht nur am DNS liegen? Da ich intern und extern die gleiche Domain habe, löst er im lokalen LAN ja nicht die Entra Domain auf?!
(Kann oder muss ich das umgehen, oder war es gar ein Fehler die interne Domain nur Firma.de zu nennen und nicht z.B. Domain.Firma.de?!)

Mache ich eine Gedankenfehler oder ist das so gewollt, oder was mache ich falsch?!

Content-Key: 81118205988

Url: https://administrator.de/contentid/81118205988

Printed on: February 21, 2024 at 05:02 o'clock

Member: Cloudrakete
Cloudrakete Feb 10, 2024 at 19:49:25 (UTC)
Goto Top
Servus,

AAD ist AAD und AD ist AD.
Wenn beide gleich wären, bräuchte man keinen AD-Sync der zwischen beiden Welten die Übersetzungsarbeit leistet.
AAD kennt keine GPOs, in der Cloud wäre das eine Aufgabe von Intune. Dort gibts zwar auch keine GPOs, aber immerhin ADMX-Templates die man ausrollen kann.

Auch die Authentifizierung an Netzwerkshares etc. ist einem AAD fremd, du hast doch SharePoint & OneDrive ;)
Wenn du also überwiegend "legacy" on-premise Workloads nutzt, dann erstelle den User / Rechner doch bitte auch im on-premise AD.

All deine "Probleme" sind gewollt, da works as designed von Microsoft.
Member: Avoton
Avoton Feb 11, 2024 at 06:20:57 (UTC)
Goto Top
Moin,

Du kannst Intune so konfigurieren, dass der Rechner beim konfigurieren auch im lokalen AD angelegt wird. Da gibt's einen extra Connector, der dafür eingerichtet werden muss.

Aber: Damit GPOs etc. Greifen muss der Client natürlich immer noch mit dem DC "reden" können.

Gruß,
Avoton
Member: pebcak7123
pebcak7123 Feb 12, 2024 at 07:16:16 (UTC)
Goto Top
Entra Hybrid Join nennt sich das in Intune. Dazu brauchst du aber natürlich intune lizenzen , und wenn du eh intune hast würd ich auf längere sicht alle enduser geräte auf verwaltung durch intune umstellen und den Entra Hybrid Join nicht benutzen.