我用ps命令禁用了AADC,但是密码哈希同步还是启用了。 有没有什么命令可以禁用它?截图
没有Powershell cmdlet来禁用密码哈希同步。
基于 设置-MsolDirSyncFeature(简体中文), PasswordSync 可以和这个cmdlet一起使用。但经过测试,我发现它不被支持。这个文档似乎不再维护了。
然后我又找到了另一个文档。Azure AD Connect同步服务功能. 它指出,密码散列同步是由 Azure AD Connect 配置的,不能由以下人员修改。Set-MsolDirSyncFeature.
经过与Azure AD支持部门确认,确实没有一个cmdlet来制作。但有一个变通方法可以使密码哈希同步无效。请参考 启用密码哈希的同步化.
我们可以看到有一个脚本来同步预置账户NTLM和Kerberos密码哈希到Azure AD。
# Define the Azure AD Connect connector names and import the required PowerShell module
$azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
$adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
# Create a new ForceFullPasswordSync configuration parameter object then
# update the existing connector with this new configuration
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
# Disable and re-enable Azure AD Connect to force a full password synchronization
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
如果不运行最后一行,密码哈希同步将不再生效。
但是,"密码哈希同步 "仍然会在Azure门户上显示为 "已启用"。
所以,这个方法只能让密码散列同步失效,而不能改变门户上 "密码散列同步 "的状态。
目前我们只能在AAD连接中禁用。