???? 在實際企業環境中，絕大部分公司已經有域環境了，也有自己內部的域用戶和用戶組。如果使用O365服務后又是獨立的一套賬號和密碼，這對用戶來說非常不方便，對于企業管理員來說也不好管理，必須得管理2套不同的用戶和策略。由此對于O365微軟提供了以下解決方案，我們來看看這幾種方案有何區別:

? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

今天我們先一起了解和配置目錄使用密碼同步的目錄同步方案，這樣即可實現通過內部用戶名和密碼登錄O365云服務。

?

目錄同步方案- 用于將本地目錄對象（用戶、組、聯系人）同步到云中，以幫助減少管理開銷。在英文中，directory synchronization 有時簡寫為 directorysync。設置目錄同步后，管理員便可以從本地 Active Directory 管理目錄對象，所做的更改將同步到租戶。在此方案中，你的用戶將使用不同的用戶名與密碼來訪問你的云和本地資源。

使用密碼同步的目錄同步方案- 如果要讓用戶使用他們在登錄企業網絡和資源時所用的相同用戶名和密碼來登錄 Azure AD 和其他服務，請使用此方案。密碼同步是目錄同步工具的一個功能。

1.? 系統要求和先決條件

1.1 在開始目錄同步之前我們先來看看基本的系統要求和前提條件。為了實現目錄同步必須準備一臺AD同步計算機，具體要求如下：

?

·? 它必須使用 Windows Server 作為操作系統。支持以下版本的 WindowsServer 操作系統：

• 64 位版本的 Windows Server 2008 Standard、Enterprise 或 Datacenter 版 SP1 或更高版本

• Windows Server 2008 R2 Standard、Enterprise 或 Datacenter 版 SP1 或更高版本

• Windows Server 2012 Standard 或 Datacenter

• Windows Server 2012 R2 Standard 或 Datacenter

·? 它必須加入到 Active Directory。

·? 它必須運行 Microsoft .NET Framework 3.5 SP1 和 Microsoft .NET Framework 4.5.1

·? 它必須運行 Windows PowerShell

·? 活動目錄同步工具不能安裝在域控制器上

?

更多詳細的要求可參考Technet官方文檔：

http://technet.microsoft.com/zh-cn/library/jj151831

1.2 必須添加自定義域并完成驗證，具體可參考本系列的第四部分，完成后即可按照以下步驟進行具體的配置。

2.? 激活 Active Directory 同步

2.1 登錄O365管理中心，點擊“設置”

2.2 點擊“激活”

2.3 在提示對話框中確認后點擊“激活”

2.4 確認狀態已經激活

?

3.? 配置活動目錄同步服務器

3.1 將活動目錄服務器加入域后，通過服務器管理器安裝Microsoft .NET Framework 3.5（Microsoft .NET Framework4.5在Windows Server 2012 R2默認已經安裝好了）勾選“.NET Framework 3.5功能”，點擊“下一步”

3.2 點擊“指定備用源路徑”指定系統所在路徑（D:\sources\sxs\）點擊“確定”---“安裝”（在Windows Server2012 R2 安裝.Net 3.5必須指定源光盤路徑）

3.3 安裝活動目錄同步工具（可從O365管理中心下載），運行安裝程序，點擊“下一步”

?3.4 選擇“我接受”，點擊“下一步”

?3.5 選擇安裝路徑，點擊“下一步”

?3.6?等待同步工具的安裝

3.7 安裝完成后，點擊“下一步”

3.8 勾選“立即啟動配置向導”點擊“完成”（也可通過桌面快捷方式開始配置向導）

?3.9 點擊“下一步”

3.10 輸入O365具有全局管理員的憑據，點擊“下一步”

3.11 輸入內部組織AD企業管理員憑據，點擊“下一步”

3.12 如需將Azure AD屬性寫回到本地AD，勾選“啟用混合部署”

3.13 如需將本地AD用戶密碼同步至Azure AD，勾選“啟用密碼同步”，點擊“下一步”

3.14 等待配置

?3.15 配置完成后，點擊“下一步”

3.16 若需立即同步，勾選“立即同步目錄”，點擊“完成”

此時配置成功后會自動將本地AD新創建的所有用戶和安全組同步至Azure AD，那么在實際環境中一般只需要同步特定的OU中的用戶。可以通過以下步驟修改。

4.? 自定義同步特定OU中的用戶和組

4.1 在Active Directory 用戶和計算機中創建好OU，并將需要同步至AzureAD的用戶存放在此OU中；

4.2 在目錄同步計算機上打開miisclient, 默認路徑在”C:\Program Files\Windows Azure Active DirectorySync\SYNCBUS\Synchronization Service\UIShell” 切換到“Management Agents”，右鍵“Active DirectoryConnector”選擇“Properties”

4.3 點擊“ConfigureDirectory Partitions”---“Containers”

4.4 輸入本地AD管理員賬號密碼，點擊“OK”

4.5 勾選需要同步的特定OU點擊“OK”

4.6 點擊“OK”

4.7 以管理員身份運行WindowsPowerShell，運行命令“Import-Module dirsync”導入模塊，接著運行命令“Start-OnlineCoexistenceSync-fullsync”重新完全同步；

5.? 激活已同步用戶

5.1 登錄O365管理中心，切換到“活動用戶”，可看到已經成功從本地AD中同步了3個用戶，且狀態為“已與Active Directory同步”（如果同步了本地的安全組，可在“安全組”選項中看到）

5.2 同步完成后并沒有分配許可和電子郵件地址，點擊“激活已同步用戶”

?

5.3 選擇用戶位置和分配許可證，點擊”激活”

5.4 在結果頁面點擊“完成”，此步驟不會生成密碼，使用的是本地AD的密碼

5.5 分配許可和電子郵件地址后，發現地址并非是Wangld.com，而是默認的域名，此時想到通過點擊編輯按鈕進行修改，點擊“編輯”

?5.6?提示有些詳細信息只能通過本地AD進行編輯

?5.7?點擊“電子郵件地址”—“設置為主要電子郵件地址”

5.8 點擊“保存”

?

5.9 保存后出現錯誤，說明只能通過本地AD修改后再同步過來。當然此時可能會有人說，剛才配置的時候不是勾選了“啟用混合部署”嗎。勾選此“啟用混合部署”的作用是將Office365云端的用戶部分屬性同步到本地AD，并不是可以實現在云端進行編輯更改用戶屬性。

5.10 回到本地active directory 用戶和計算機，編輯用戶LocalUser01屬性，在電子郵件地址處輸入LocalUser01@Wangld.com,點擊確定。

5.11 等待同步完成后，回到O365管理中心可發現主要電子郵件地址已經更改過來了，如圖

?? 以上是活動目錄同步的整個配置過程，也是后期配置單一登陸（SSO）的前提條件，希望能幫到大家，感謝大家的支持和關注。IT之光交流群 397506426

總結

以上是生活随笔為你收集整理的Office 365系列之十二：ActiveDirectory同步的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。