Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Modul PowerShellu s názvem ADSyncConfig.psm1 byl představen s buildem 1.1.880.0 (vydaným v srpnu 2018), který obsahuje kolekci rutin, které vám pomůžou nakonfigurovat správná oprávnění služby Active Directory pro vaše nasazení Microsoft Entra Connect.
Přehled
Následující cmdlety PowerShellu se dají použít pro nastavení oprávnění účtu konektoru služby AD DS v Active Directory pro každou funkci, kterou vyberete pro povolení v Microsoft Entra Connect. Abyste zabránili jakýmkoli problémům, měli byste předem připravit oprávnění v Active Directory, kdykoli chcete nainstalovat Microsoft Entra Connect pomocí vlastního doménového účtu pro připojení k vaší doménové struktuře. Tento modul ADSyncConfig lze také použít ke konfiguraci oprávnění po nasazení nástroje Microsoft Entra Connect.
Pro instalaci Microsoft Entra Connect Express se ve službě Active Directory vytvoří automaticky vygenerovaný účet (MSOL_nnnnnnnnnn) se všemi potřebnými oprávněními. Tento modul ADSyncConfig nemusíte používat, pokud jste nezablokovali dědičnost oprávnění u organizačních jednotek nebo konkrétních objektů služby Active Directory, které chcete synchronizovat s ID Microsoft Entra.
Souhrn oprávnění
Následující tabulka obsahuje souhrn oprávnění požadovaných pro objekty AD:
| Funkce | Oprávnění |
|---|---|
| Funkce ms-DS-ConsistencyGuid | Oprávnění ke čtení a zápisu atributu ms-DS-ConsistencyGuid zdokumentovaného v konceptech návrhu – Použití ms-DS-ConsistencyGuid jako sourceAnchor |
| Synchronizace hodnot hash hesel | |
| Hybridní nasazení Exchange | Oprávnění ke čtení a zápisu atributů zdokumentovaných v hybridním zpětném zápisu Exchange pro uživatele, skupiny a kontakty. |
| Veřejná složka e-mailu Exchange | Informace o oprávněních ke čtení atributů pro veřejné složky najdete v části Veřejná složka e-mailu Exchange. |
| Zpětný zápis hesla | Oprávnění pro uživatele ke čtení a zápisu atributů zdokumentovaných v části Začínáme se správou hesel. |
| Zpětný zápis zařízení | Oprávnění ke čtení a zápisu pro objekty a kontejnery zařízení dokumentované v zpětném zápisu zařízení. |
| Zpětný zápis skupin | Čtení, vytváření, aktualizace a odstraňování objektů skupiny pro synchronizované skupiny Office 365 |
Použití modulu PowerShellu ADSyncConfig
Modul ADSyncConfig vyžaduje nástroje pro vzdálenou správu serveru (RSAT) pro službu AD DS , protože závisí na modulu a nástrojích PowerShellu služby AD DS. Pokud chcete nainstalovat vzdálenou správu serveru pro službu AD DS, otevřete okno Windows PowerShellu s příkazem Spustit jako správce a spusťte:
Install-WindowsFeature "RSAT-AD-Tools"
Poznámka:
Můžete také zkopírovat soubor C:\Program Files\Microsoft Entra Connect\AdSyncConfig\ADSyncConfig.psm1 do řadiče domény, který už má nástroj RSAT pro SLUŽBU AD DS nainstalovaný a používat tento modul PowerShellu odtud. Mějte na paměti, že některé rutiny se dají spustit jenom na počítači, který hostuje Microsoft Entra Connect.
Pokud chcete začít používat ADSyncConfig, musíte modul načíst v okně Windows PowerShellu:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Pokud chcete zkontrolovat všechny rutiny zahrnuté v tomto modulu, můžete zadat:
Get-Command -Module AdSyncConfig
Každý cmdlet má stejné parametry pro zadání účtu konektoru AD DS a přepínače AdminSDHolder. Pokud chcete zadat účet konektoru služby AD DS, můžete zadat název účtu a doménu nebo jenom rozlišující název účtu (DN).
Například:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
nebo
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Nezapomeňte nahradit <ADAccountName><ADDomainName> a <ADAccountDN> za správné hodnoty pro vaše prostředí.
V případě, že chcete upravit oprávnění pro kontejner AdminSDHolder, použijte přepínač -IncludeAdminSdHolders. Toto se nedoporučuje.
Ve výchozím nastavení se rutiny PowerShellu pro nastavení oprávnění pokusí nastavit oprávnění služby AD DS v kořenovém adresáři každé domény v lesu. To znamená, že uživatel, který spouští relaci PowerShellu, potřebuje oprávnění správce domény pro každou doménu v lesu. Kvůli tomuto požadavku se doporučuje použít správce podniku z kořene lesa. Pokud má vaše nasazení Microsoft Entra Connect více konektorů AD DS, je vyžadováno spustit tentýž cmdlet pro každý les, který má konektor AD DS.
Oprávnění pro konkrétní organizační jednotky nebo objekt AD DS můžete také nastavit pomocí parametru -ADobjectDN následovaného DN cílového objektu, kde chcete nastavit oprávnění. Při použití cílového objektu ADobjectDN nastaví rutina oprávnění pouze pro tento objekt, a ne v kořenovém adresáři domény nebo kontejneru AdminSDHolder. Tento parametr může být užitečný, pokud máte určité organizační jednotky nebo objekty AD DS, které mají zakázáno dědičnost oprávnění (viz Vyhledání objektů AD DS se zakázaným dědičností oprávnění).
Výjimky z těchto běžných parametrů jsou rutina Set-ADSyncRestrictedPermissions, která slouží k nastavení oprávnění k samotnému účtu konektoru služby AD DS, a rutina Set-ADSyncPasswordHashSyncPermissions, protože oprávnění požadovaná pro synchronizaci hodnot hash hesel jsou nastavená pouze v kořenovém adresáři domény, a proto tato rutina neobsahuje parametry -ObjectDN ani -IncludeAdminSdHolders.
Určení účtu konektoru služby AD DS
V případě, že je Microsoft Entra Connect již nainstalovaný a chcete zkontrolovat, jaký účet konektoru služby AD DS je aktuálně používán službou Microsoft Entra Connect, můžete spustit tento cmdlet:
Get-ADSyncADConnectorAccount
Vyhledat objekty AD DS se zakázanou dědičností oprávnění
Pokud chcete zkontrolovat, jestli existuje nějaký objekt AD DS se zakázanou dědičností oprávnění, můžete spustit:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
Ve výchozím nastavení tato rutina hledá pouze organizační jednotky se zakázanou dědičností, ale v parametru -ObjectClass můžete zadat další třídy objektů AD DS nebo použít * pro všechny třídy objektů následujícím způsobem:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Zobrazení oprávnění služby AD DS objektu
Následující rutinu můžete použít k zobrazení seznamu oprávnění aktuálně nastavených u objektu služby Active Directory zadáním jeho rozlišujícího názvu:
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
Konfigurace oprávnění účtu konektoru služby AD DS
Konfigurace základních oprávnění jen pro čtení
Pokud chcete nastavit základní oprávnění jen pro čtení pro účet konektoru AD DS, pokud nepoužíváte žádnou funkci Microsoft Entra Connect, spusťte:
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
nebo
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Přístup | Platí pro |
|---|---|---|---|
| Povolit | Účet konektoru služby AD DS | Přečíst všechny vlastnosti | Potomkové objekty zařízení |
| Povolit | Účet konektoru služby AD DS | Přečíst všechny vlastnosti | Descendant InetOrgPerson – objekty |
| Povolit | Účet konektoru služby AD DS | Přečíst všechny vlastnosti | Objekty počítače ve stromu potomků |
| Povolit | Účet konektoru služby AD DS | Přečíst všechny vlastnosti | Potomci objektů typu foreignSecurityPrincipal |
| Povolit | Účet konektoru služby AD DS | Přečíst všechny vlastnosti | Objekty skupiny potomků |
| Povolit | Účet konektoru služby AD DS | Přečíst všechny vlastnosti | Objekty potomků uživatele |
| Povolit | Účet konektoru služby AD DS | Přečíst všechny vlastnosti | Objekty potomků kontaktu |
| Povolit | Účet konektoru služby AD DS | Replikace změn adresáře | Pouze tento objekt (kořen domény) |
Konfigurace oprávnění MS-DS-Consistency-Guid
Pokud chcete nastavit oprávnění pro účet konektoru služby AD DS při použití atributu ms-Ds-Consistency-Guid jako zdrojového ukotvení (označuje se také jako možnost Umožnit Azure spravovat zdrojovou ukotvení pro mě), spusťte:
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
nebo
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Přístup | Platí pro |
|---|---|---|---|
| Povolit | Účet konektoru služby AD DS | Vlastnost čtení/zápisu | Objekty potomků uživatele |
Oprávnění pro synchronizaci hodnot hash hesel
Pokud chcete nastavit oprávnění pro účet konektoru služby AD DS při použití synchronizace hodnot hash hesel, spusťte:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
nebo
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Přístup | Platí pro |
|---|---|---|---|
| Povolit | Účet konektoru služby AD DS | Replikace změn adresáře | Pouze tento objekt (kořen domény) |
| Povolit | Účet konektoru služby AD DS | Replikace veškerých změn adresáře | Pouze tento objekt (kořen domény) |
Oprávnění pro zpětný zápis hesla
Pokud chcete nastavit oprávnění pro účet konektoru AD DS při zpětném zápisu hesla, spusťte:
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
nebo
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Přístup | Platí pro |
|---|---|---|---|
| Povolit | Účet konektoru služby AD DS | Vytvořit nové heslo | Objekty potomků uživatele |
| Povolit | Účet konektoru služby AD DS | Zapsat vlastnost lockoutTime | Objekty potomků uživatele |
| Povolit | Účet konektoru služby AD DS | Zapsat vlastnost pwdLastSet | Objekty potomků uživatele |
Oprávnění pro zpětný zápis skupin
Pokud chcete nastavit oprávnění pro účet konektoru služby AD DS při použití Zpětného zápisu skupiny, spusťte:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
nebo
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Přístup | Platí pro |
|---|---|---|---|
| Povolit | Účet konektoru služby AD DS | Obecné čtení a zápis | Všechny atributy skupiny typů objektů a podobjektů |
| Povolit | Účet konektoru služby AD DS | Vytvoření nebo odstranění podřízeného objektu | Všechny atributy skupiny typů objektů a podobjektů |
| Povolit | Účet konektoru služby AD DS | Smazat/Odstranit objekty stromové struktury | Všechny atributy skupiny typů objektů a podobjektů |
Oprávnění pro hybridní nasazení Exchange
Pokud chcete nastavit oprávnění pro účet konektoru AD DS při použití hybridního nasazení Exchange, spusťte:
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
nebo
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Přístup | Platí pro |
|---|---|---|---|
| Povolit | Účet konektoru služby AD DS | Čtení a zápis všech vlastností | Objekty potomků uživatele |
| Povolit | Účet konektoru služby AD DS | Čtení a zápis všech vlastností | Descendant InetOrgPerson – objekty |
| Povolit | Účet konektoru služby AD DS | Čtení a zápis všech vlastností | Objekty skupiny potomků |
| Povolit | Účet konektoru služby AD DS | Čtení a zápis všech vlastností | Objekty potomků kontaktu |
Oprávnění pro veřejné složky pošty Exchange
Pokud chcete nastavit oprávnění pro účet konektoru AD DS při použití funkce Veřejné složky Exchange Mail, spusťte:
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
nebo
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Přístup | Platí pro |
|---|---|---|---|
| Povolit | Účet konektoru služby AD DS | Přečíst všechny vlastnosti | Objekty Descendant PublicFolder |
Omezte oprávnění účtu pro konektor služby Active Directory Domain Services (AD DS)
Tento skript PowerShellu zpřísní oprávnění pro účet konektoru AD zadaný jako parametr. Zpřísnění oprávnění zahrnuje následující kroky:
Zakázání dědičnosti u zadaného objektu
Odeberte všechny ACL na konkrétním objektu, s výjimkou ACL specifických pro SELF, protože chceme zachovat výchozí oprávnění beze změny, pokud jde o SELF.
Parametr
-ADConnectorAccountDNje účet AD, jehož oprávnění je potřeba utáhnout. Obvykle se jedná o účet domény MSOL_nnnnnnnnnnnn nakonfigurovaný v konektoru služby AD DS (viz Určení účtu konektoru služby AD DS). Parametr-Credentialje nutný k zadání účtu Správce, který má potřebná oprávnění k omezení oprávnění služby Active Directory pro cílový objekt AD (tento účet se musí lišit od účtu ADConnectorAccountDN). Obvykle se jedná o podnikového správce nebo správce domény.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Příklad:
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
Tato rutina nastaví následující oprávnění:
| Typ | Název | Přístup | Platí pro |
|---|---|---|---|
| Povolit | SYSTÉM | Úplné řízení | Tento objekt |
| Povolit | Podnikoví správci | Úplné řízení | Tento objekt |
| Povolit | Správci domény | Úplné řízení | Tento objekt |
| Povolit | Správci | Úplné řízení | Tento objekt |
| Povolit | Podnikové řadiče domény | Obsah seznamu | Tento objekt |
| Povolit | Podnikové řadiče domény | Číst všechny vlastnosti | Tento objekt |
| Povolit | Podnikové řadiče domény | Oprávnění ke čtení | Tento objekt |
| Povolit | Ověření uživatelé | Obsah seznamu | Tento objekt |
| Povolit | Ověření uživatelé | Číst všechny vlastnosti | Tento objekt |
| Povolit | Ověření uživatelé | Oprávnění ke čtení | Tento objekt |