Während der Verwendung von Azure AD kann ich mich keiner ACL hinzufügen

493
BlueMonkMN

Als ich zu Beginn der Woche einen neuen Laptop erhielt, führte mich das anfängliche Setup über meine Arbeits-E-Mail-Adresse, die meines Erachtens auch mit meinem Microsoft MSDN- und / oder Office 365-Konto verknüpft ist. Die Dinge funktionierten meistens in Ordnung, aber ich musste mein Passwort öfter eingeben, als mir lieb war, also entschloss ich mich, mein System formell mit der Domäne zu verbinden. Bei meinem Versuch habe ich eine Fehlermeldung erhalten, dass ich keiner Domäne beitreten kann, wenn ich bereits Mitglied bei Azure AD bin. Ich hatte vorher noch nie davon gehört, aber ich bin den Schritten gefolgt, um mich von Azure AD zu entfernen und dann der Domäne beizutreten.

Zu diesem Zeitpunkt funktionierten die Dinge besser, aber mir fiel auf, dass ich jetzt zwei Profile mit derselben Domäne und demselben Benutzernamen hatte. Mein Kontoname ist beispielsweise MYCOMP \ bmarty, und ich hatte zwei Verzeichnisse unter C:\users:

C:\users\bmarty C:\users\bmarty.MYCOMP 

Ich bemerkte auch, dass ich, wenn ich mein Konto hinzufügen wollte, um Zugriff auf den SQL-Server oder auf ein Verzeichnis oder eine Datei zu haben, nicht MYCOMP \ bmarty eingeben kann, um auf mein Konto zu verweisen. Ich musste meine E-Mail-Adresse eingeben, dann wurde mein Konto ordnungsgemäß aufgelöst und ich konnte die Zugriffssteuerungsliste für SQL Server oder die Datei hinzufügen.

Dann stellte ich fest, dass ich nicht zur Domäne gehören sollte, da ich nur Auftragnehmer bin, die ein externes Gerät verwenden und kein von der Firma verwaltetes System verwenden. Also habe ich alle meine Profile gelöscht und mich mit meiner E-Mail-Adresse wieder in Azure AD eingefügt.

Jetzt besteht mein Problem darin, dass ich meinen Kontonamen nicht auflösen kann, um auf Ressourcen zuzugreifen. Die alten MYCOMP \ bmarty-Verweise sind veraltet (das Konto, mit dem ich mich jetzt erneut anmelde, löst sich nicht in dieselbe SID auf). Wenn ich jetzt versuche, MYCOMP \ bmarty oder meine E-Mail-Adresse einzugeben, erhalte ich Fehlermeldungen. Wenn ich MYCOMP \ bmarty verwende, erhalte ich die Meldung:

Das folgende Objekt stammt nicht aus einer Domäne, die im Dialogfeld Standort auswählen aufgeführt ist, und ist daher nicht gültig: mycomp \ bmarty

Wenn ich meine E-Mail-Adresse verwende, erhalte ich die Nachricht:

Ein Objekt (Benutzer oder integrierter Sicherheitsprinzipal) mit dem folgenden Namen kann nicht gefunden werden: "bmarty@mycomp.com". Überprüfen Sie die ausgewählten Objekttypen und -orte auf Genauigkeit und stellen Sie sicher, dass Sie den Objektnamen richtig eingegeben haben, oder entfernen Sie dieses Objekt aus der Auswahl.

Wie soll ich das Konto, mit dem ich gerade bei Windows angemeldet ist, jetzt einer ACL hinzufügen ? Ich habe diese whoamiBerichte mycomp\bmartyund whoami /upnBerichte bestätigt bmarty@mycomp.com. Ich habe whoami verwendet, um meine SID nachzuschlagen, aber der ACL-Editor von SQL Server (der wie jeder andere Standard aussieht) löste dies ebenfalls nicht und gab mir die letzte Fehlermeldung oben.

0
Siehe https://superuser.com/questions/1252225/how-do-i-grant-access-to-an-azure-ad-user BlueMonkMN vor 6 Jahren 0

1 Antwort auf die Frage

0
BlueMonkMN

Obwohl die ACL-Editoren den Kontonamen nicht mit den bereitgestellten Eingaben überprüfen, gibt es andere Möglichkeiten, Zugriff zu gewähren.

Geben Sie in SQL Server einfach den Kontonamen (MYCOMP \ bmarty) in das Feld für den Benutzernamen ein, ohne den ACL-Editor zu verwenden. Dies funktioniert tatsächlich und erlaubte mir, mich mit der Windows-Authentifizierung anzumelden und auf die zusätzlichen Ressourcen zuzugreifen

Um den Dateizugriff zu adressieren, kann an einer administrativen Eingabeaufforderung einer Datei mit dem icaclsBefehl der Zugriff gewährt werden :

icacls mydir /grant mycomp\bmarty:(F,WDAC) /T