AAD sync AD - Zugriff lokale Freigaben und GPOs

[krake79 1]

Hi,
habe eine lokales AD. (Firma.de)
Eine Entra Domain (Firma.de) (eigentlich nur für Exchange)
Sync läuft erfolgreich.

Wenn ich die PCs wie herkommlich mit der Domain verbinde, ist alles "schön".

Wie ist es aber nun gedacht, wenn ich einen neuen Arbeitsplatz bei der Installation mit AAD-Account einrichte, bzw. bei der Installation anmelde.

Auch wenn ich mich im lokalen LAN befinde, werden die AD-GPOs nicht abgearbeitet.
Der PC taucht ja auch gar nicht im AD auf, nur im AAD.

Wie ist das von MS gewollt oder vorgesehen?

Würde gern lokale Netzlaufwerke via GPO verbinden.
Aber auch nicht via GPO ist das gar nicht "so einfach".

Greife ich via \\Server.firma.de\Freigabe drauf zu öffnet sich das Anmeldefenster.
Damit ist der User dann schon überfordert.

Wenn ich mich mit der PIN anmelde, erhalte ich sogar die Fehlermeldung das der DC nicht erreichbar ist.
Wenn ich mit aber mit anderem User: firma.de\Username und PC authenifiziere geht es.

Kann es vielleicht nur am DNS liegen? Da ich intern und extern die gleiche Domain habe, löst er im lokalen LAN ja nicht die Entra Domain auf?!
(Kann oder muss ich das umgehen, oder war es gar ein Fehler die interne Domain nur Firma.de zu nennen und nicht z.B. Domain.Firma.de?!)

Mache ich eine Gedankenfehler oder ist das so gewollt, oder was mache ich falsch?!

[NorbertFe 2.034]

vor 2 Minuten schrieb krake79:

Auch wenn ich mich im lokalen LAN befinde, werden die AD-GPOs nicht abgearbeitet.

Was logisch ist, oder? Der ist ja nicht Mitglied des ad (Lokal). Wie soll er also gpos übernehmen?

 

vor 3 Minuten schrieb krake79:

Der PC taucht ja auch gar nicht im AD auf, nur im AAD.

Dann wirst du wohl über intune, alles was du bisher per gpo geregelt hast, regeln müssen.

 

[krake79 1]

Danke für die schnelle Antwort.
Ich bin davon ausgegangen, dass er über den Sync auch weiß, dass er Mitglied in der lokalen Domain ist.

 

Spricht den etwas dagegen, die Arbeitsplätze herkömmlich lokal anzumelden. 

Dann ist alles "wie früher"?!

 

 

[NorbertFe 2.034]

vor einer Stunde schrieb krake79:

Ich bin davon ausgegangen, dass er über den Sync auch weiß, dass er Mitglied in der lokalen Domain ist.

Nein, soweit mir bekannt gibt’s den Sync in diese Richtung nicht. Das was du vermutlich suchst nennt sich Hybrid join. Ist aber nicht unbedingt mein Steckenpferd, also warte mal auf weitere Antworten.

 

vor einer Stunde schrieb krake79:

Spricht den etwas dagegen, die Arbeitsplätze herkömmlich lokal anzumelden. 

Aus meiner Sicht nicht, aber ich weiß ja nicht, was deine Absicht ist.

 

bye

norbert

[krake79 1]

vor 3 Minuten schrieb NorbertFe:

Aus meiner Sicht nicht, aber ich weiß ja nicht, was deine Absicht ist.

 

 

Ich finde es halt "einfacher" bei einer Einrichtung eines neuen Notebooks eben den AAD-Account zu nutzen, als erst einen User anzulegen, das Gerät in die AD packen und dann den Benutzer anmelden.
Aber wenn der AAD-Account in der lokalen Doamain, keine "Verknüpfung hat", macht das ja wenig Sinn.

Absicht ist im lokalen Netzwerk auf gemappte Laufwerk zuzugreifen und ggf. auf einem RDP Server zu arbeiten! Natürlich alles schön SSO.

[NorbertFe 2.034]

Naja, so wird’s nicht gehen. Wie gesagt, schau dir hybrid join an. Oder evtl. Einfach dein Domain join verfahren. ;)

[krake79 1]

Ich dachte HybridJoin wäre genau andersherum. Also AD-OnPrem Clients in Office365 verwalten.
Brauche es ja genau umgekehrt. Schaue ich mir aber nochmal an...

 

DANKE und sonnigen Sammstag noch...

[NorbertFe 2.034]

Ja richtig. Für alles andere wäre dann azure ad join. Aber das kannst du dann eben nicht mit lokalen ad tools verwalten sondern nur mit azure Tools (intune).

 

[testperson 1.677]

Hi,

 

an der Stelle kannst du dir Windows Autopilot ansehen. Hier solltest du einen groben Überblick über das Vorgehen bekommen: Windows Autopilot Hybrid Domain Join Step By Step Guide 1 (anoopcnair.com)

 

Gruß

Jan