Microsoft Entra Připojení: Konfigurace oprávnění účtu služby AD DS Připojení or
Modul PowerShellu s názvem ADSyncConfig.psm1 byl představen s buildem 1.1.880.0 (vydaným v srpnu 2018), který obsahuje kolekci rutin, které vám pomůžou nakonfigurovat správná oprávnění služby Active Directory pro vaše nasazení Microsoft Entra Připojení.
Přehled
Následující rutiny PowerShellu se dají použít k nastavení oprávnění služby Active Directory účtu Připojení or služby AD DS pro každou funkci, kterou vyberete pro povolení v microsoft Entra Připojení. Pokud chcete zabránit jakýmkoli problémům, měli byste předem připravit oprávnění služby Active Directory, kdykoli chcete nainstalovat Microsoft Entra Připojení pomocí vlastního účtu domény pro připojení k doménové struktuře. Tento modul ADSyncConfig lze také použít ke konfiguraci oprávnění po nasazení Připojení Microsoft Entra.
Pro instalaci Microsoft Entra Připojení Express se ve službě Active Directory vytvoří automaticky vygenerovaný účet (MSOL_nnnnnnnnnn) se všemi potřebnými oprávněními, takže tento modul ADSyncConfig není potřeba používat, pokud jste nezablokovali dědičnost oprávnění u organizačních jednotek nebo konkrétních objektů služby Active Directory, které chcete synchronizovat s ID Microsoft Entra.
Souhrn oprávnění
Následující tabulka obsahuje souhrn oprávnění požadovaných pro objekty AD:
| Funkce | Oprávnění |
|---|---|
| Funkce ms-DS-ConsistencyGuid | Oprávnění ke čtení a zápisu atributu ms-DS-ConsistencyGuid zdokumentovaného v konceptech návrhu – Použití ms-DS-ConsistencyGuid jako sourceAnchor |
| Synchronizace hodnot hash hesel | |
| Hybridní nasazení Exchange | Oprávnění ke čtení a zápisu atributů zdokumentovaných v hybridním zpětném zápisu Exchange pro uživatele, skupiny a kontakty |
| Veřejná složka e-mailu Exchange | Informace o oprávněních ke čtení atributů pro veřejné složky najdete v části Veřejná složka e-mailu Exchange. |
| Zpětný zápis hesla | Oprávnění ke čtení a zápisu k atributům zdokumentovaným v části Začínáme se správou hesel pro uživatele |
| Zpětný zápis zařízení | Oprávnění ke čtení a zápisu k objektům a kontejnerům zařízení zdokumentovaným v zpětném zápisu zařízení |
| Zpětný zápis skupin | Čtení, vytváření, aktualizace a odstraňování objektů skupiny pro synchronizované skupiny Office 365 |
Použití modulu PowerShellu ADSyncConfig
Modul ADSyncConfig vyžaduje pro službu AD DS vzdáleného serveru Správa istrace nástrojů (RSAT), protože závisí na modulu a nástrojích PowerShellu služby AD DS. Pokud chcete nainstalovat vzdálenou správu serveru pro SLUŽBU AD DS, otevřete okno Windows PowerShellu s příkazem Spustit jako Správa istrator a spusťte:
Install-WindowsFeature RSAT-AD-Tools
Poznámka:
Soubor C:\Program Files\Microsoft Entra Připojení\AdSyncConfig\ADSyncConfig.psm1 můžete také zkopírovat do řadiče domény, který už má nainstalovaný nástroj RSAT pro SLUŽBU AD DS, a použít odtud tento modul PowerShellu. Mějte na paměti, že některé rutiny je možné spustit pouze na počítači, který hostuje Microsoft Entra Připojení.
Pokud chcete začít používat ADSyncConfig, musíte modul načíst v okně Windows PowerShellu:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Pokud chcete zkontrolovat všechny rutiny zahrnuté v tomto modulu, můžete zadat:
Get-Command -Module AdSyncConfig
Každá rutina má stejné parametry pro zadání účtu Připojení or služby AD DS a přepínače Správa SDHolder. Pokud chcete zadat účet Připojení or služby AD DS, můžete zadat název účtu a doménu nebo jenom rozlišující název účtu (DN).
Např.:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
nebo
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Nezapomeňte nahradit <ADAccountName><ADDomainName> a <ADAccountDN> za správné hodnoty pro vaše prostředí.
V případě, že chcete změnit oprávnění v kontejneru Správa SDHolder, použijte přepínač -IncludeAdminSdHolders. Upozorňujeme, že to nedoporučujeme.
Ve výchozím nastavení se všechny rutiny pro nastavení oprávnění pokusí nastavit oprávnění služby AD DS v kořenovém adresáři každé domény v doménové struktuře, což znamená, že uživatel, který spouští relaci PowerShellu, vyžaduje oprávnění domain Správa istrator pro každou doménu v doménové struktuře. Z tohoto požadavku se doporučuje použít podnikový Správa istrator z kořenové struktury. Pokud má vaše nasazení Microsoft Entra Připojení více Připojení orů služby AD DS, bude nutné spustit stejnou rutinu pro každou doménovou strukturu, která má Připojení or služby AD DS.
Oprávnění pro konkrétní organizační jednotky nebo objekt AD DS můžete také nastavit pomocí parametru -ADobjectDN následovaného DN cílového objektu, kde chcete nastavit oprávnění. Při použití cílového objektu ADobjectDN nastaví rutina oprávnění pouze pro tento objekt, nikoli v kořenovém adresáři domény nebo v kontejneru Správa SDHolder. Tento parametr může být užitečný, pokud máte určité organizační jednotky nebo objekty AD DS, které mají zakázáno dědičnost oprávnění (viz Vyhledání objektů AD DS se zakázaným dědičností oprávnění).
Výjimky z těchto běžných parametrů jsou Set-ADSyncRestrictedPermissions rutina, která slouží k nastavení oprávnění pro samotný účet služby AD DS Připojení or a rutinaSet-ADSyncPasswordHashSyncPermissions, protože oprávnění požadovaná pro synchronizaci hodnot hash hesel jsou nastavená pouze v kořenovém adresáři domény, proto tato rutina nezahrnuje -ObjectDN ani -IncludeAdminSdHolders parametry.
Určení účtu Připojení or služby AD DS
Pokud je microsoft Entra Připojení již nainstalovaný a chcete zkontrolovat, co je účet služby AD DS Připojení or, který aktuálně používá Microsoft Entra Připojení, můžete spustit tuto rutinu:
Get-ADSyncADConnectorAccount
Vyhledání objektů SLUŽBY AD DS se zakázaným dědičností oprávnění
V případě, že chcete zkontrolovat, jestli existuje nějaký objekt AD DS se zakázaným dědičností oprávnění, můžete spustit:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
Ve výchozím nastavení bude tato rutina hledat pouze organizační jednotky s zakázanou dědičností, ale v parametru můžete zadat další třídy -ObjectClass objektů SLUŽBY AD DS nebo použít *pro všechny třídy objektů následujícím způsobem:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Zobrazení oprávnění služby AD DS objektu
Pomocí následující rutiny můžete zobrazit seznam oprávnění aktuálně nastavených u objektu služby Active Directory zadáním jeho rozlišujícího názvu:
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
Konfigurace oprávnění účtu konektoru služby AD DS
Konfigurace základních oprávnění jen pro čtení
Pokud chcete nastavit základní oprávnění jen pro čtení pro účet Připojení or služby AD DS, pokud nepoužíváte žádnou funkci Microsoft Entra Připojení, spusťte:
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Nebo;
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | Účet Připojení oru služby AD DS | Čtení všech vlastností | Objekty zařízení potomků |
| Povolit | Účet Připojení oru služby AD DS | Čtení všech vlastností | Descendant InetOrgPerson – objekty |
| Povolit | Účet Připojení oru služby AD DS | Čtení všech vlastností | Objekty počítače potomků |
| Povolit | Účet Připojení oru služby AD DS | Čtení všech vlastností | Descendant foreignSecurityPrincipal objekty |
| Povolit | Účet Připojení oru služby AD DS | Čtení všech vlastností | Objekty descendant Group |
| Povolit | Účet Připojení oru služby AD DS | Čtení všech vlastností | Objekty potomků uživatele |
| Povolit | Účet Připojení oru služby AD DS | Čtení všech vlastností | Objekty potomku kontaktu |
| Povolit | Účet Připojení oru služby AD DS | Replikace změn adresáře | Pouze tento objekt (kořen domény) |
Konfigurace oprávnění MS-DS-Consistency-Guid
Pokud chcete nastavit oprávnění pro účet služby AD DS Připojení or při použití atributu ms-Ds-Consistency-Guid jako zdrojové ukotvení (označuje se také jako možnost Umožnit Azure spravovat zdrojové ukotvení pro mě), spusťte:
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Nebo;
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | Účet Připojení oru služby AD DS | Read/Write – vlastnost | Objekty potomků uživatele |
Oprávnění pro synchronizaci hodnot hash hesel
Pokud chcete nastavit oprávnění pro účet služby AD DS Připojení or při použití synchronizace hodnot hash hesel, spusťte:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
Nebo;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | Účet Připojení oru služby AD DS | Replikace změn adresáře | Pouze tento objekt (kořen domény) |
| Povolit | Účet Připojení oru služby AD DS | Replikace změn adresáře – vše | Pouze tento objekt (kořen domény) |
Oprávnění pro zpětný zápis hesla
Pokud chcete nastavit oprávnění pro účet služby AD DS Připojení or při použití zpětného zápisu hesla, spusťte:
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Nebo;
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | Účet Připojení oru služby AD DS | Vytvořit nové heslo | Objekty potomků uživatele |
| Povolit | Účet Připojení oru služby AD DS | Write property lockoutTime | Objekty potomků uživatele |
| Povolit | Účet Připojení oru služby AD DS | Write property pwdLastSet | Objekty potomků uživatele |
Oprávnění pro zpětný zápis skupiny
Pokud chcete nastavit oprávnění pro účet Připojení or služby AD DS při použití zpětného zápisu skupiny, spusťte:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Nebo;
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | Účet Připojení oru služby AD DS | Obecné čtení a zápis | Všechny atributy skupiny typů objektů a podobjektů |
| Povolit | Účet Připojení oru služby AD DS | Vytvoření nebo odstranění podřízeného objektu | Všechny atributy skupiny typů objektů a podobjektů |
| Povolit | Účet Připojení oru služby AD DS | Odstranění nebo odstranění objektů stromu | Všechny atributy skupiny typů objektů a podobjektů |
Oprávnění pro hybridní nasazení Exchange
Pokud chcete nastavit oprávnění pro účet Připojení or služby AD DS při použití hybridního nasazení Exchange, spusťte:
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Nebo;
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | Účet Připojení oru služby AD DS | Čtení/zápis všech vlastností | Objekty potomků uživatele |
| Povolit | Účet Připojení oru služby AD DS | Čtení/zápis všech vlastností | Descendant InetOrgPerson – objekty |
| Povolit | Účet Připojení oru služby AD DS | Čtení/zápis všech vlastností | Objekty descendant Group |
| Povolit | Účet Připojení oru služby AD DS | Čtení/zápis všech vlastností | Objekty potomku kontaktu |
Oprávnění pro veřejné složky pošty Exchange
Pokud chcete nastavit oprávnění pro účet služby AD DS Připojení or při použití funkce Veřejné složky pošty Exchange, spusťte:
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Nebo;
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | Účet Připojení oru služby AD DS | Čtení všech vlastností | Objekty Descendant PublicFolder |
Omezení oprávnění pro účet Připojení or služby AD DS
Tento skript PowerShellu zpřísní oprávnění pro účet ad Připojení oru zadaný jako parametr. Zpřísnění oprávnění zahrnuje následující kroky:
Zakázání dědičnosti u zadaného objektu
Odeberte všechny ACL na konkrétním objektu, s výjimkou ACL specifických pro SELF, protože chceme zachovat výchozí oprávnění beze změny, pokud jde o SELF.
Parametr -AD Připojení orAccountDN je účet AD, jehož oprávnění je potřeba utáhnout. Obvykle se jedná o účet domény MSOL_nnnnnnnnnnnn, který je nakonfigurovaný v Připojení oru služby AD DS (viz Určení účtu Připojení or služby AD DS). Parametr -Credential je nezbytný k určení účtu Správa istratoru, který má potřebná oprávnění k omezení oprávnění služby Active Directory pro cílový objekt AD (tento účet se musí lišit od účtu AD Připojení orAccountDN). Obvykle se jedná o Správa istrator organizace nebo domény.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Příklad:
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
Tato rutina nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | SYSTÉM | Úplné řízení | Tento objekt |
| Povolit | Enterprise Admins | Úplné řízení | Tento objekt |
| Povolit | Domain Admins | Úplné řízení | Tento objekt |
| Povolit | Správci | Úplné řízení | Tento objekt |
| Povolit | Podnikové řadiče domény | Obsah seznamu | Tento objekt |
| Povolit | Podnikové řadiče domény | Číst všechny vlastnosti | Tento objekt |
| Povolit | Podnikové řadiče domény | Oprávnění ke čtení | Tento objekt |
| Povolit | Ověření uživatelé | Obsah seznamu | Tento objekt |
| Povolit | Ověření uživatelé | Číst všechny vlastnosti | Tento objekt |
| Povolit | Ověření uživatelé | Oprávnění ke čtení | Tento objekt |