由于各种原因,我们的大量 Windows PC 未加入我们的 Windows 2012 R2 Active Directory 域。我们正在纠正这个问题,并在每个办公室的基础上加入 PC。
我们的一些员工现在拥有 Windows 8.1 PC,并且在购买时,他们尽职尽责地遵循 Microsoft 的要求,创建与 PC 相关联的 Microsoft Live 帐户。用户名采用 UPN 的形式,就本问题而言,我将其视为 Microsoft 的演示域,即 [email protected]。这些电脑是由我们的远程员工善意配置的;直到现在,我才能将它们带到我们的领域。
不出所料,我们的员工选择的 UPN 与我们为域提供的真实 UPN 一致,因此用户使用他们的电子邮件地址 (UPN) 登录 PC,然后也使用相同的帐户名登录中央服务。(这不是 SSO,因为 Microsoft Live 和我们的域之间没有信任关系。)
我可以很容易地将 PC 加入 CONTOSO 域,并且 UPN 可以在其他任何地方工作。我还准备了一个 GPO,它将说服这些 Windows PC 默认使用不合格的用户名登录我们的域而不是 Microsoft Live。但是,Windows 8.1 区分真正的本地帐户、Microsoft Live 链接帐户和域帐户的方式似乎是本地帐户使用非限定名称,Live 帐户使用 UPN,而域帐户被推回使用域\用户名样式。作为我们将电子邮件服务并行迁移到 Office 365 的一部分,我们在一年前从 CONTOSO\Username 表单中移出,我希望继续让用户在任何地方使用 UPN 登录。
我知道我可以使用 Forensit用户配置文件迁移向导之类的工具将用户的本地配置文件迁移到域配置文件,以便处理数据。
但是,是否有任何明智的方法可以将这些 PC 上的 UPN 登录形式从 Microsoft Live 迁移到我们的域?我真的不希望某些人能够使用 UPN 登录,但其他人必须记住使用旧的 DOMAIN\Username 格式。
事实证明,解决方案很简单——原则上如果不是在实践中。
该过程无法通过 Powershell 或 GPO 执行。它要求相关用户使用其 Microsoft Live 帐户(即 UPN 样式登录,例如 [email protected])登录到 PC。
一旦断开连接并重新启动 PC,UPN 样式登录将再次与域相关联。