嗨,我的Azure Active Directory域服务(ADDS)有问题
在AAD中创建新用户时,该用户也可以从AADS中看到。但是,当从AAD中删除用户时,该用户在AADS中仍然可见,但被标记为禁用。我预计该用户也会在AADS中被删除。此外,当在AAD(新id)中重新创建用户时,该用户在AADS中仍被标记为禁用。
没有内部部署AD,也没有安装ADConnect。
为什么AAD和AADS没有像预期的那样保持同步?如何强制重新同步?
哦,我是在仔细阅读文档后才明白的。显然,被删除的用户会被放入回收站30天,然后可以从那里恢复。对我来说,解决方案是简单地清除回收站,并在删除用户时也这样做。
$deletedUsers = Get-MsolUser -ReturnDeletedUsers -All
foreach($user in $deletedUsers)
{
echo $user.DisplayName
Remove-MsolUser -ObjectId $user.ObjectId -RemoveFromRecycleBin -Force
}
根据官方文档,在Azure AD和Azure AD DS之间进行初始同步后,更新更改通常需要大约20分钟。更新包括在Azure AD中进行的密码更改或属性更改。
有关更多详细信息,请参阅下文。
用户帐户、组成员身份和凭据哈希从Azure AD租户同步到Azure AD域服务管理域。此同步过程是自动的。您不需要配置、监视或管理此同步过程目录的一次性初始同步之后完成后,在中进行更改通常需要大约20分钟Azure AD将反映在您的托管域中。此同步间隔适用于密码更改或对中属性的更改Azure AD.
此外,在要同步的用户属性中,Azure AD中的用户属性accountEnabled与Azure AD DS中的用户特性userAccountControl同步。如果在Azure AD中禁用了该用户,则userAccountControl的值设置为ACCOUNT_disabled位。
根据以上信息,我认为Azure AD只有在同步期间在Azure AD DS中创建和修改用户和组的权限。它没有足够的权限删除用户。