Por vários motivos, um número significativo de nossos PCs com Windows não está associado ao nosso domínio Windows 2012 R2 Active Directory. Estamos corrigindo isso e ingressando em PCs por escritório.
Vários de nossos funcionários agora têm PCs com Windows 8.1 e, quando foram comprados, seguiram obedientemente a insistência da Microsoft em criar uma conta do Microsoft Live associada ao PC. Os nomes de usuário estão na forma de um UPN, que, para os propósitos desta questão, tratarei como sendo o domínio de demonstração da Microsoft, ou seja, [email protected]. Esses PCs foram configurados de boa fé por nossa equipe remota; só agora estou em posição de trazê-los para o nosso domínio.
Sem surpresa, o UPN que nosso pessoal escolhe coincide com o real que damos a eles para nosso domínio, então os usuários se conectam ao PC usando seu endereço de e-mail (UPN) e depois se conectam aos serviços centrais também usando o mesmo nome de conta. (Isso não é SSO porque não há relação de confiança entre o Microsoft Live e nosso domínio.)
Posso ingressar os PCs no domínio CONTOSO com bastante facilidade e em qualquer outro lugar em que o UPN funcione. Também tenho um GPO pronto para usar que persuadirá esses PCs com Windows a usar como padrão um nome de usuário não qualificado para entrar em nosso domínio em vez de no Microsoft Live. No entanto, parece que a maneira como o Windows 8.1 diferencia entre uma conta local verdadeira, uma conta vinculada ao Microsoft Live e uma conta de domínio é que a conta local usa um nome não qualificado, a conta Live usa um UPN e a conta de domínio é empurrada para trás para usar DOMÍNIO\estilo de nome de usuário. Mudamos do formulário CONTOSO\Nome de usuário há cerca de um ano, como parte de nossa migração paralela de serviços de email para o Office 365, e prefiro continuar fazendo com que os usuários entrem em qualquer lugar com um UPN.
Sei que posso migrar o perfil local de um usuário para um perfil de domínio usando algo como o assistente de migração de perfil de usuário Forensit , para lidar com os dados.
No entanto, existe alguma maneira sensata de migrar a forma de login UPN nesses PCs do Microsoft Live para o nosso domínio? Eu realmente não quero que algumas pessoas possam fazer login com um UPN, mas outras precisam se lembrar de usar o antigo formato DOMÍNIO\Nome de usuário.
Acontece que a solução é simples - em princípio, se não na prática.
O processo não pode ser acionado via Powershell ou um GPO. Ele requer que o usuário em questão faça logon no PC com sua conta do Microsoft Live (ou seja, logon no estilo UPN, como [email protected]).
Depois que essa desconexão for alcançada e o PC for reiniciado, o login no estilo UPN será associado ao domínio mais uma vez.