黑客入侵后在本地域控制器上恢复:如何处理在本地丢失的现有 AAD 帐户?
Restored on premises Domain Controller after hack: How to handle existing AAD accounts that are lost on premises?
我们有一个本地 Active Directory。环境遭到黑客攻击,域控制器已恢复到根据取证人员的说法是干净的备份。
为了更好地解释,我们假设黑客攻击发生在 10 月 1 日,而它恢复到的备份是从 9 月 1 日开始的。
所有9月1日之前创建并同步的本地账号都可以。在 9 月 1 日至 10 月 1 日期间创建和同步的所有本地帐户都在本地丢失。
一个新的 AADC 实例已安装、配置并正在愉快地同步。由于某些原因,9月1日之后和10月1日之前创建的账户在AADC再次开始同步时并没有在云端被删除。我们不知道为什么。但是,它们不再存在于场所中。
这些本地帐户应该重新创建,以便他们可以访问本地资源。
我查看了有关 AADC 中 soft/hard 匹配的 Microsoft 文档:Azure AD Connect:当您已经拥有 Azure AD |微软文档
它声明新导入到 AADC 的对象将在可能的情况下进行硬匹配或软匹配,之后,AAD 会将它们标记为“已同步目录”。它还指出:
仅针对来自 Connect 的新对象评估匹配。如果您更改现有对象以使其与这些属性中的任何一个相匹配,那么您会看到一个错误。
我的问题是:如果我们在云中拥有那些标记为“同步目录”的帐户并在本地创建它们,这是否会被 AADC 视为“新对象”并进行硬匹配或软匹配?还是会导致云端重复账号或者出现上面提到的错误?
如果我们在本地停止 AADC 同步服务,在本地创建帐户并为那些新创建的本地帐户分配与云对象相同的“sourceAnchor/immutableID”值并重新启动同步,这会起作用还是会导致错误?
谢谢!!!
• 首先,反向同步,即即使使用 Azure AD Connect,用户身份从 Azure AD 同步到本地 AD 也是不可能的。只有很少的属性可以写回,并且主要用于混合配置和密码,如果您启用了相应的功能(和许可证)。因此,在您的情况下,如果您在 Azure AD Connect 中启用了“密码写回”和“密码哈希同步”,那么只有您可以通过 Azure AD 在本地编辑用户的这些属性。此外,如果这就是您想要的,您可以简单地通过 PowerShell (Get-MsolUser/Get-AzureADUser) 或图表 API 导出用户列表以及任何相关属性,然后使用导出的数据在 AD 中重新创建它们(同样,PowerShell 有帮助)。您不能导出密码。 export/import 完成后,您可以将本地用户与云用户“匹配”并为他们提供 SSO 体验。该过程称为软匹配。两种环境之间的另一种同步称为硬匹配。您可以在下面的 link 中找到更多详细信息:-
• 但是您可以尝试下面 link 中给出的一种方法,方法是创建那些在该月创建的备份不可用的用户,并确保他们的域后缀和电子邮件因为别名属性与当月在 Azure AD 中同步的属性相同。因此,当您创建相同的用户、主 SMTP、电子邮件、别名和域后缀时,您可以将这些用户的身份再次同步到之前在 Azure AD 中同步(创建)的相同身份。请参考下面的 links 了解详细步骤:-
我们有一个本地 Active Directory。环境遭到黑客攻击,域控制器已恢复到根据取证人员的说法是干净的备份。
为了更好地解释,我们假设黑客攻击发生在 10 月 1 日,而它恢复到的备份是从 9 月 1 日开始的。
所有9月1日之前创建并同步的本地账号都可以。在 9 月 1 日至 10 月 1 日期间创建和同步的所有本地帐户都在本地丢失。 一个新的 AADC 实例已安装、配置并正在愉快地同步。由于某些原因,9月1日之后和10月1日之前创建的账户在AADC再次开始同步时并没有在云端被删除。我们不知道为什么。但是,它们不再存在于场所中。 这些本地帐户应该重新创建,以便他们可以访问本地资源。 我查看了有关 AADC 中 soft/hard 匹配的 Microsoft 文档:Azure AD Connect:当您已经拥有 Azure AD |微软文档
它声明新导入到 AADC 的对象将在可能的情况下进行硬匹配或软匹配,之后,AAD 会将它们标记为“已同步目录”。它还指出: 仅针对来自 Connect 的新对象评估匹配。如果您更改现有对象以使其与这些属性中的任何一个相匹配,那么您会看到一个错误。 我的问题是:如果我们在云中拥有那些标记为“同步目录”的帐户并在本地创建它们,这是否会被 AADC 视为“新对象”并进行硬匹配或软匹配?还是会导致云端重复账号或者出现上面提到的错误? 如果我们在本地停止 AADC 同步服务,在本地创建帐户并为那些新创建的本地帐户分配与云对象相同的“sourceAnchor/immutableID”值并重新启动同步,这会起作用还是会导致错误?
谢谢!!!
• 首先,反向同步,即即使使用 Azure AD Connect,用户身份从 Azure AD 同步到本地 AD 也是不可能的。只有很少的属性可以写回,并且主要用于混合配置和密码,如果您启用了相应的功能(和许可证)。因此,在您的情况下,如果您在 Azure AD Connect 中启用了“密码写回”和“密码哈希同步”,那么只有您可以通过 Azure AD 在本地编辑用户的这些属性。此外,如果这就是您想要的,您可以简单地通过 PowerShell (Get-MsolUser/Get-AzureADUser) 或图表 API 导出用户列表以及任何相关属性,然后使用导出的数据在 AD 中重新创建它们(同样,PowerShell 有帮助)。您不能导出密码。 export/import 完成后,您可以将本地用户与云用户“匹配”并为他们提供 SSO 体验。该过程称为软匹配。两种环境之间的另一种同步称为硬匹配。您可以在下面的 link 中找到更多详细信息:-
• 但是您可以尝试下面 link 中给出的一种方法,方法是创建那些在该月创建的备份不可用的用户,并确保他们的域后缀和电子邮件因为别名属性与当月在 Azure AD 中同步的属性相同。因此,当您创建相同的用户、主 SMTP、电子邮件、别名和域后缀时,您可以将这些用户的身份再次同步到之前在 Azure AD 中同步(创建)的相同身份。请参考下面的 links 了解详细步骤:-