同步活动目录域服务(ADDS)和azure活动目录(AAD)

时间:2017-02-08 11:58:54

标签: azure azure-active-directory

您好我遇到Azure Active Directory域服务(ADDS)

的问题

在AAD中创建新用户时,用户也可以从AADS中看到。但是,当从AAD删除用户时,仍然可以从AADS看到用户,但标记为禁用。我希望用户也可以在AADS中删除。此外,当在AAD(新ID)中重新创建用户时,仍然在AADS中将用户标记为已禁用。

没有内部部署AD,并且没有安装ADConnect。

为什么AAD和AADS没有按预期保持同步?我如何强制重新同步?

2 个答案:

答案 0 :(得分:2)

哦,我仔细阅读文档后想出来了。显然,被删除的用户将被放入回收站30天,并且可以从那里恢复。对我来说,解决方案就是简单地清除recycle-bin,并在删除用户时这样做。

$deletedUsers = Get-MsolUser -ReturnDeletedUsers -All
foreach($user in $deletedUsers)
{
    echo $user.DisplayName
    Remove-MsolUser -ObjectId $user.ObjectId -RemoveFromRecycleBin -Force
}

答案 1 :(得分:0)

根据官方文档,在Azure AD和Azure AD DS之间进行初始同步之后,更新更改通常需要大约20分钟。此更新包括密码更改或Azure AD中对属性所做的更改。

请参阅下文了解更多详情。

  

用户帐户,组成员资格和凭据哈希值   从Azure AD租户同步到Azure AD域   服务管理域。此同步过程是自动的。   您无需配置,监视或管理此同步   处理。在您的目录的一次性初始同步之后   完成后,通常需要大约20分钟才能完成更改   Azure AD将反映在您的托管域中。这种同步   interval适用于密码更改或对中的属性所做的更改   Azure AD。

此外,在同步的用户属性中,Azure AD中的用户属性 accountEnabled 将同步到Azure AD DS中的用户属性 userAccountControl 。如果在Azure AD中禁用了该用户,则userAccountControl的值将设置为 ACCOUNT_DISABLED 位。

根据上述信息,我认为Azure AD仅具有在同步期间在Azure AD DS中创建和修改用户和组的权限。它没有足够的权限来删除用户。