Det er ikke meningen at Azure AD DS skal være en erstatning for et on-prem AD, for der er en række svagheder ved Azure Active Directory der begrænser mulighederne i en AD baseret infrastruktur. Det er Microsofts anbefalinger at man altid har et on-premises domain man sync’er til Azure Active Directory.
On-premises Active Directory domains med Azure Active Directory
- Begrænset til et Default domæne og en enkelt Default Domain controller policy. Kunder har ikke adgang til selve Domain controlleren i Azure Active Directory og kan derfor ikke tilføje flere
- Ingen Domain Admin rettigheder
- Kerberos Delegation og app proxy Window Auth kan ikke sættes op, da man ikke har den krævede Domain Admin rettighed
- Azure Active Directory er single region only – så ingen disaster recovery setup i anden region
- Du kan lave dine egne OU’er, men de lever kun i Azure Active Directory. Hvis du opretter OU’er med brugere kan du ikke se dem i resten af Azure Active Directory
- Azure Active Directory kræver i øjeblikket et v1 VNET, så hvis du benytter v2 VNET’s kræver det du opretter v1 VNET og joiner dem enten med VNET peering eller VPN
Årsag:
Azure Active Directory Domain Services (AD DS) er lavet for at give kunder en mulighed for en lift-n-shift fremgangsmåde, når de lægger Applikationer og servere i Azure der kræver en LDAP AD server. Det er Microsofts anbefalinger at man altid har et on-premises domain man sync’er this to Azure Active Directory. På den måde opnår man optimale muligheder og sikkerhed på samme måde.