我希望能够通过脚本确定给定的 Windows 工作站是加入 AAD、混合 AD 还是加入本地 AD。
我想从我正在使用的 RMM 运行此脚本,这样我就可以将这些结果存储在 RMM 中,并能够轻松地将计算机分为这三个类别(加上一个用于未加入任何类型域的工作站的类别)。
我使用的 RMM 以 NT AUTHORITY\SYSTEM 身份运行 powershell 脚本。
获取此信息的通常推荐方法是运行命令
dsregcmd /status
Run Code Online (Sandbox Code Playgroud)
然而,根据微软的文档
dsregcmd /status 实用程序必须作为域用户帐户运行。
我在自己的测试中验证了在 Powershell 中运行 dsregcmd /status 作为 NT AUTHORITY\SYSTEM 返回错误
dsregcmd : The term 'dsregcmd' is not recognized as the name of a cmdlet, function, script file, or operable program.
Run Code Online (Sandbox Code Playgroud)
在 cmd 中运行该命令会返回类似的错误。
当我尝试指定 dsregcmd.exe 的完整路径时,错误是相同的。
有没有办法让这个命令在以 SYSTEM 身份运行时起作用?或者,是否有另一种方法可以确定工作站在以 SYSTEM 身份运行时是否已加入 AAD?
是否可以在加入 AAD 的 Windows 10 计算机上更改本地用户名 (C:\Users\xxx)?
长版:
设置和信息:Windows 10 商业版、Azure AD 连接计算机。仅使用“Microsoft 365”的云。Intune MDM。
当租户用户登录到计算机时,本地用户名变为“FirstnameMiddlenameLastname”。因此,您得到:“C:\Users\FirstnameMiddlenameLastname\”作为用户的路径。
在 Azure AD 中,用户名 (UPN) 配置为“firstname.lastname@domain”。因此 UPN 不用于在计算机上生成本地用户名。
“FirstnameMiddlenameLastname”实际上似乎对应于 Azure AD 中的“DisplayName”或“Name*”字段。但Windows 10删除了Windows的空格和其他非法字符。
问题:
是否可以更改生成的本地 Windows 10 用户名?
或者换句话说:更改 Windows 10 客户端上本地用户名生成的源。
在传统的“本地”设置中,用户名是由管理员 UPN 定义的更合理且更短的名称。然而现在 Windows 不再使用实际的 UPN 作为用户名......
对于“FirstnameMiddlenameLastname”,我们遇到以下问题:
我尝试使用 Okta 设置 AAD,发现当用户访问 App Embed 链接并将其 SAML 响应发布到https://login.microsoftonline.com/login.srf时,他们会收到无用的错误:
AADSTS50107: Requested federation realm object 'http://okta.com/..............' does not exist
Run Code Online (Sandbox Code Playgroud)
我已经设置了一个外部身份提供商。如何让它识别我的域名?
我们经常面临这样的情况:外部用户(AAD 中的来宾用户)对内部应用程序(例如 PowerBI)的访问需要进行故障排除(应用程序特定配置中的错误)。目前,我们只能通过让外部用户自己出现并重复他们所做的事情来重现这些问题。
创建测试环境来模拟不在我们的 AAD 或租户中的用户的最佳方法是什么?
我需要在 AAD 中设置一些用户帐户在一段时间后过期。例如,大学学生毕业后(四年)不应该被允许访问班级共享点网站。他们有某种自动机制来做到这一点吗?我主要指的是组中的自动过期用户。
背景
我有一个电子邮件系统(CodeTwo),它使用 AD 属性为用户自动创建签名。我的许多用户在本地 AD 和 Office 365 / AAD 之间同步,但较新的用户仅是云用户,也就是说,它们是在 Office 365 管理门户中创建的,不与本地用户同步。
问题
我正在使用该属性,该属性可以通过 Windows 管理工具Active Directory 用户和计算机companyName
的属性对话框轻松设置。我已设置Azure AD Connect以在同步中包含此属性。对于我的同步用户,此设置按预期工作 - 使用类似命令,我可以看到或属性设置正确。然而,对于仅使用云的用户,该值始终为空。Get-CsOnleUser
Get-AzureADUser
Company
CompanyName
我找不到设置此值的方法 - 该属性要么是只读的,要么更改属性的值并使用Set-CsUser
或Set-AzureADUser
没有效果。
我注意到我们有一些 AD 扩展属性,特别是一个名为extension_0000000000000000000000000000000_company
- 我可以为云用户设置此属性,但它似乎不会影响从上面的查询返回的对象。同样,签名盖章系统也不会拾取它。
问题
如何companyName
在 Azure AD / Office 365 中设置用户属性?最好使用 PowerShell,但现阶段是否愿意接受任何选项?
我有一台当前运行 Windows 11 家庭版的工作计算机。(我会将其更新到 Pro/Enterprise,但我需要先弄清楚这一点。)我需要通过连接到我公司的 Azure Active Directory 来“设置工作或学校帐户”。所有教程都说我应该单击“将此设备加入 Azure Active Directory”,但我的计算机根本没有提供此选项。我已经在谷歌上搜索了几个小时,但我一直无法弄清楚为什么缺少这个选项。必须采取哪些步骤才能将我的计算机连接到 Azure Active Directory?
entra-id ×7
powershell ×2
windows ×2
federated ×1
office365 ×1
okta ×1
saml ×1
security ×1
windows-10 ×1