我有一个奇怪的 ADSync 错误,指出我的本地活动目录包含两个具有相同 ProxyAddress 属性的对象。其中一个帐户是用户名@domain.tld(这是正确的),第二个是用户名@domain.onmicrosoft.com(我认为在 AD 中不存在) - 根据 DirSync 错误报告,它们都包含相同的冲突的 ProxyAddress用户名@domain.tld。AzureAD 显示这两个帐户都来自本地 Active Directory。关键是有人可以在几年前创建 *onmicrosoft.com 帐户来测试 office365。
到目前为止,我已经检查了两件事:
- 用于测试本地 AD 中相同代理地址的小型 powershell 脚本:
Get-ADUser -Filter * -Properties proxyAddresses | foreach {
foreach($address in $_.proxyAddresses) {
if ($address -eq 'smtp:[email protected]') {
Write-Host $address
}
}
}
- 检查冲突帐户的不可变 ID:
$user = Get-ADUser legit_account
$immutableid = [System.Convert]::ToBase64String($user.ObjectGUID.tobytearray())
$immutableid #shows the same as legit account in DirSync report
$badImmutableID = 'base64 copied from bad account DirSync error report=='
$users = get-aduser -Filter *
foreach ($usr in $users) {
$currImmutableID = [System.Convert]::ToBase64String($usr.ObjectGUID.tobytearray())
if ($currImmutableID -eq $badImmutableID) {
$usr
}
}
此脚本不提供具有错误 immutableID 的输出(但可与其他脚本一起使用)。
我实际上被困在这一点上 - AzureAD 不会让我删除坏帐户来解决冲突,说我必须在本地 AD 中解决它,而没有这样的帐户。任何想法将不胜感激。
您需要在删除该不良帐户之前禁用 AD 同步,
步骤 1 – 为 Windows PowerShell 安装 Azure Active Directory 模块
第 2 步- 连接到 Azure AD
第 3 步- 禁用目录同步
第 4 步– 检查目录同步状态
继续定期运行此 cmdlet,直到它返回 False,然后转到下一步。请注意,Azure AD 在此期间将无法使用。
第 5 步- 删除孤立对象
第 6 步– 启用目录同步
此处的详细信息:您无法管理或删除通过 Azure Active Directory 同步工具同步的对象
编辑: - 警告: 正如 Cyrill U 所指出的,再次启用同步可能需要长达 72 小时,因此在此过程之前必须考虑到这一点。
详细信息: 无法激活或停用 Office 365、Azure 或 Intune 的目录同步