3
AAD sync AD - Zugriff lokale Freigaben und GPOs
Hi,
habe eine lokales AD. (Firma.de)
Eine Entra Domain (Firma.de) (eigentlich nur für Exchange)
Sync läuft erfolgreich.
Wenn ich die PCs wie herkommlich mit der Domain verbinde, ist alles "schön".
Wie ist es aber nun gedacht, wenn ich einen neuen Arbeitsplatz bei der Installation mit AAD-Account einrichte, bzw. bei der Installation anmelde.
Auch wenn ich mich im lokalen LAN befinde, werden die AD-GPOs nicht abgearbeitet.
Der PC taucht ja auch gar nicht im AD auf, nur im AAD.
Wie ist das von MS gewollt oder vorgesehen?
Würde gern lokale Netzlaufwerke via GPO verbinden.
Aber auch nicht via GPO ist das gar nicht "so einfach".
Greife ich via \\Server.firma.de\Freigabe drauf zu öffnet sich das Anmeldefenster.
Damit ist der User dann schon überfordert.
Wenn ich mich mit der PIN anmelde, erhalte ich sogar die Fehlermeldung das der DC nicht erreichbar ist.
Wenn ich mit aber mit anderem User: firma.de\Username und PC authenifiziere geht es.
Kann es vielleicht nur am DNS liegen? Da ich intern und extern die gleiche Domain habe, löst er im lokalen LAN ja nicht die Entra Domain auf?!
(Kann oder muss ich das umgehen, oder war es gar ein Fehler die interne Domain nur Firma.de zu nennen und nicht z.B. Domain.Firma.de?!)
Mache ich eine Gedankenfehler oder ist das so gewollt, oder was mache ich falsch?!
habe eine lokales AD. (Firma.de)
Eine Entra Domain (Firma.de) (eigentlich nur für Exchange)
Sync läuft erfolgreich.
Wenn ich die PCs wie herkommlich mit der Domain verbinde, ist alles "schön".
Wie ist es aber nun gedacht, wenn ich einen neuen Arbeitsplatz bei der Installation mit AAD-Account einrichte, bzw. bei der Installation anmelde.
Auch wenn ich mich im lokalen LAN befinde, werden die AD-GPOs nicht abgearbeitet.
Der PC taucht ja auch gar nicht im AD auf, nur im AAD.
Wie ist das von MS gewollt oder vorgesehen?
Würde gern lokale Netzlaufwerke via GPO verbinden.
Aber auch nicht via GPO ist das gar nicht "so einfach".
Greife ich via \\Server.firma.de\Freigabe drauf zu öffnet sich das Anmeldefenster.
Damit ist der User dann schon überfordert.
Wenn ich mich mit der PIN anmelde, erhalte ich sogar die Fehlermeldung das der DC nicht erreichbar ist.
Wenn ich mit aber mit anderem User: firma.de\Username und PC authenifiziere geht es.
Kann es vielleicht nur am DNS liegen? Da ich intern und extern die gleiche Domain habe, löst er im lokalen LAN ja nicht die Entra Domain auf?!
(Kann oder muss ich das umgehen, oder war es gar ein Fehler die interne Domain nur Firma.de zu nennen und nicht z.B. Domain.Firma.de?!)
Mache ich eine Gedankenfehler oder ist das so gewollt, oder was mache ich falsch?!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 81118205988
Url: https://administrator.de/contentid/81118205988
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
3 Kommentare
Neuester Kommentar
Servus,
AAD ist AAD und AD ist AD.
Wenn beide gleich wären, bräuchte man keinen AD-Sync der zwischen beiden Welten die Übersetzungsarbeit leistet.
AAD kennt keine GPOs, in der Cloud wäre das eine Aufgabe von Intune. Dort gibts zwar auch keine GPOs, aber immerhin ADMX-Templates die man ausrollen kann.
Auch die Authentifizierung an Netzwerkshares etc. ist einem AAD fremd, du hast doch SharePoint & OneDrive ;)
Wenn du also überwiegend "legacy" on-premise Workloads nutzt, dann erstelle den User / Rechner doch bitte auch im on-premise AD.
All deine "Probleme" sind gewollt, da works as designed von Microsoft.
AAD ist AAD und AD ist AD.
Wenn beide gleich wären, bräuchte man keinen AD-Sync der zwischen beiden Welten die Übersetzungsarbeit leistet.
AAD kennt keine GPOs, in der Cloud wäre das eine Aufgabe von Intune. Dort gibts zwar auch keine GPOs, aber immerhin ADMX-Templates die man ausrollen kann.
Auch die Authentifizierung an Netzwerkshares etc. ist einem AAD fremd, du hast doch SharePoint & OneDrive ;)
Wenn du also überwiegend "legacy" on-premise Workloads nutzt, dann erstelle den User / Rechner doch bitte auch im on-premise AD.
All deine "Probleme" sind gewollt, da works as designed von Microsoft.
Moin,
Du kannst Intune so konfigurieren, dass der Rechner beim konfigurieren auch im lokalen AD angelegt wird. Da gibt's einen extra Connector, der dafür eingerichtet werden muss.
Aber: Damit GPOs etc. Greifen muss der Client natürlich immer noch mit dem DC "reden" können.
Gruß,
Avoton
Du kannst Intune so konfigurieren, dass der Rechner beim konfigurieren auch im lokalen AD angelegt wird. Da gibt's einen extra Connector, der dafür eingerichtet werden muss.
Aber: Damit GPOs etc. Greifen muss der Client natürlich immer noch mit dem DC "reden" können.
Gruß,
Avoton
Entra Hybrid Join nennt sich das in Intune. Dazu brauchst du aber natürlich intune lizenzen , und wenn du eh intune hast würd ich auf längere sicht alle enduser geräte auf verwaltung durch intune umstellen und den Entra Hybrid Join nicht benutzen.
