您好,我遇到了 Azure Active Directory 域服务 (ADDS) 问题
在 AAD 中创建新用户时,该用户在 AADS 中也可见。但是,当从 AAD 中删除用户时,该用户在 AADS 中仍然可见,但被标记为禁用。我预计该用户也会在 AADS 中被删除。此外,在 AAD(新 ID)中重新创建用户时,该用户在 AADS 中仍被标记为禁用。
没有本地 AD,也没有安装 ADConnect。
为什么 AAD 和 AADS 没有按预期保持同步?以及如何强制重新同步?
【问题讨论】:
标签: azure azure-active-directory
哦,我在仔细阅读文档后发现了这一点。显然,被删除的用户会被放入回收站 30 天,并且可以从那里恢复。我的解决方案是简单地清除回收站,并在删除用户时这样做。
$deletedUsers = Get-MsolUser -ReturnDeletedUsers -All
foreach($user in $deletedUsers)
{
echo $user.DisplayName
Remove-MsolUser -ObjectId $user.ObjectId -RemoveFromRecycleBin -Force
}
【讨论】:
根据官方文档,在 Azure AD 和 Azure AD DS 之间进行初始同步后,更新更改通常需要大约 20 分钟。此更新包括密码更改或 Azure AD 中的属性更改。
详情请见下文。
用户帐户、组成员身份和凭据哈希是 从 Azure AD 租户同步到 Azure AD 域 服务托管域。此同步过程是自动的。 您无需配置、监控或管理此同步 过程。在您的目录的一次性初始同步之后 完成后,更改通常需要大约 20 分钟 Azure AD 将反映在您的托管域中。这种同步 间隔适用于密码更改或对属性的更改 Azure AD。
另外,在同步的用户属性中,Azure AD中的用户属性accountEnabled与Azure AD DS中的用户属性userAccountControl同步。如果用户在 Azure AD 中被禁用,则 userAccountControl 的值将设置为 ACCOUNT_DISABLED 位。
基于以上信息,我认为 Azure AD 只有在同步过程中在 Azure AD DS 中创建和修改用户和组的权限。它没有足够的权限删除用户。
【讨论】: