上一篇我们已经安装完成AAD Connect,这篇我们来设置属性筛选。
一般来说,我们使用默认配置就可以,AAD Connect会将配置的林中所有域内的所有对象都同步到Azure AD中。这样使用Exchange Online和Skype for Business等Office 365的用户就可以使用完整的全局地址列表。使用默认配置时,用户就会获得的体验与使用Exchange或Lync的本地实现相同的感受。
如果我们使用筛选功能就可以控制本地目录中的哪些对象应该出现在 Azure Active Directory (Azure AD) 中。
在下面几种类型中,我们就需要设置属性筛选:
- 打算使用多重 Azure AD 目录拓扑。 然后,需要应用筛选器以控制要将哪些对象同步到特定的 Azure AD 目录。
- 要试用 Azure 或 Office 365,因此只想在 Azure AD 中创建少量的用户。 在进行小规模试用时,无需使用完整全局地址列表即可演示功能。
- Azure AD 中有很多不需要的服务帐户和其他非个人帐户。
- 出于合规性的原因,不能删除任何本地用户帐户, 而只能禁用它们。 但是,在 Azure AD 中,只希望存在活动的帐户。
我们在筛选之前,需要先禁用计划的任务。
如何禁用计划的任务呢?
默认AAD Connect每隔 30 分钟触发同步周期一次的内置计划程序,步骤如下:
转到 PowerShell 提示符。
运行 Get-ADSyncScheduler查看当前计划任务状态
运行 Set-ADSyncScheduler -SyncCycleEnabled $False 以禁用计划程序。
然后我们打开Syncchronization Rules Editor
点击In from AD-User Join,Edit
选择否
点击“Add clause”,将“Attribute”选择为“extensionAttribute1”,“Operator”不变,“Value”输入“Sync”
更改“Join rules”,将“Source attribute”改为“mail”,将“Target attribute”改为“mailNickname”,保存
这里我们的属性筛选规则就设置完成,下面来设置下需要同步的用户的属性
因为我的AD域名跟Azure AD域不一样,所以我需要给用户修改下UPN后缀
然后再添加一个“extensionAttribute1”属性值为“Sync”
筛选与属性值更改完成后运行以下命令。
运行 Set-ADSyncScheduler -SyncCycleEnabled $True 以再次启用计划程序
之后我们可以等待30分钟之后程序自动同步,也可以手动同步;
输入Start-ADSyncSyncCycle Initial 强制完全同步;
输入Start-ADSyncSyncCycle delta 强制增量同步;
这样属性筛选就完成了,下一篇我们开始配置Exchange混合部署。
原文地址:http://blog.51cto.com/1287628133/2112928
时间: 2024-08-02 08:47:21