Azure AD - 无法对加入域的VM进行任何目录更改

我已经设置了Azure AD，并且我已经能够成功地将我的RM VM实例加入此域。但是，即使使用全局管理员帐户登录，我也无法对目录进行任何更改。我没有添加或删除用户，组或组织单位等的选项。目录似乎是只读的。

我可以通过Azure门户对目录进行更改的唯一方法。

我无法在网上找到任何对这个特定问题的引用，所以我怀疑它必须与我的设置一样奇怪。我一定错过了某个地方的一步。我已经检查了我可以找到的所有管理员屏幕，但是找不到任何允许对域进行写访问的内容。

其中一个VM运行Server 2012 R2，另一个运行Server 2016。

更新中... 我发现虽然我无法对任何现有的OU，组或用户进行更改，但我可以添加一个新的顶级OU，然后在那里添加我喜欢的任何内容。这部分解决了我的问题。但是，下一个问题是我添加的这些新用户似乎没有出现在Azure门户中。

所以我似乎可以在门户中管理用户，或者在Windows中使用域管理实用程序，但我不能同时做到这两点。

我刚发现这个...... 警告 您在Azure AD租户中无法使用在自定义OU下创建的用户帐户，组，服务帐户和计算机对象。换句话说，这些对象不会使用Azure AD Graph API或Azure AD UI显示。这些对象仅在Azure AD域服务托管域中可用。

所以这似乎只是AAD域服务的限制之一。

所以这似乎只是AAD Domain的限制之一   服务。

是的，你最好明白 从Azure AD租户到托管域的同步

用户帐户，组成员身份和凭据哈希从Azure AD租户同步到Azure AD域服务托管域。

同步过程本质上也是单向/单向的。 除您创建的任何自定义OU外，您的托管域基本上是只读的。因此，您无法更改托管域中的用户属性，用户密码或组成员身份。因此，从托管域更改到Azure AD租户的更改不会反向同步。