Microsoft Entra Connect: ADSyncConfig PowerShell-Referenz
Die folgende Dokumentation enthält Referenzinformationen für das PowerShell-Modul „ADSyncConfig.psm1“, das in Microsoft Entra Connect enthalten ist.
Get-ADSyncADConnectorAccount
ZUSAMMENFASSUNG
Ruft den Kontonamen und die Domäne ab, die in jedem AD-Connector konfiguriert sind.
SYNTAX
Get-ADSyncADConnectorAccount
BESCHREIBUNG
Diese Funktion verwendet das „Get-ADSyncConnector“-Cmdlet, das in Microsoft Entra Connect vorhanden ist, um aus Konnektivitätsparametern eine Tabelle mit dem Konto der AD-Connectors abzurufen.
BEISPIELE
BEISPIEL 1
Get-ADSyncADConnectorAccount
Get-ADSyncObjectsWithInheritanceDisabled
ZUSAMMENFASSUNG
Ruft AD-Objekte mit deaktivierter Berechtigungsvererbung ab.
SYNTAX
Get-ADSyncObjectsWithInheritanceDisabled [-SearchBase] <String> [[-ObjectClass] <String>] [<CommonParameters>]
DESCRIPTION
Sucht in AD, beginnend bei dem Parameter „SearchBase“, und gibt alle Objekte zurück, gefiltert nach dem Parameter „ObjectClass“, für die zurzeit die ACL-Vererbung deaktiviert ist.
BEISPIELE
BEISPIEL 1
Suchen von Objekten mit deaktivierter Vererbung in der Domäne „Contoso“ (standardmäßig werden nur die Objekte „organizationalUnit“ zurückgegeben)
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso'
BEISPIEL 2
Suchen von „User“-Objekten mit deaktivierter Vererbung in der Domäne „Contoso“
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso' -ObjectClass 'user'
BEISPIEL 3
Suchen aller Objekttypen mit deaktivierter Vererbung in einer Organisationseinheit
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase OU=AzureAD,DC=Contoso,DC=com -ObjectClass '*'
PARAMETERS
-SearchBase
Die „SearchBase“ für die LDAP-Abfrage, die der „DistinguishedName“ oder „FQDN“ einer AD-Domäne sein kann.
Type: String
Parameter Sets: (All)
Aliases:
Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ObjectClass
Die Klasse der zu suchenden Objekte, bei denen es sich um „*“ (für alle Objektklassen), „User“ (Benutzer), „Group“ (Gruppe), „Container“ usw. handeln kann. Standardmäßig sucht diese Funktion nach der Objektklasse „organizationalUnit“ (Organisationseinheit).
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: 2
Default value: OrganizationalUnit
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Dieses Cmdlet unterstützt diese gängigen Parameter: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen finden Sie unter „about_CommonParameters“ (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncBasicReadPermissions
ZUSAMMENFASSUNG
Initialisiert Ihre Active Directory-Gesamtstruktur und Domäne für grundlegende Leseberechtigungen.
SYNTAX
UserDomain
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
[-WhatIf] [-Confirm] [<CommonParameters>]
DESCRIPTION
Die Funktion „Set-ADSyncBasicReadPermissions“ gewährt dem AD-Synchronisierungskonto die erforderlichen Berechtigungen, darunter die folgenden: 1. „Eigenschaft lesen“-Zugriff auf alle Attribute für alle Nachfolger-Computerobjekte 2. „Eigenschaft lesen“-Zugriff auf alle Attribute für alle Nachfolger-Geräteobjekte 3. „Eigenschaft lesen“-Zugriff auf alle Attribute für alle Nachfolger-foreignsecurityprincipal-Objekte 5. „Eigenschaft lesen“-Zugriff auf alle Attribute für alle Nachfolger-Benutzerobjekte 6. „Eigenschaft lesen“-Zugriff auf alle Attribute für alle Nachfolger-inetorgperson-Objekte 7. „Eigenschaft lesen“-Zugriff auf alle Attribute für alle Nachfolger-Gruppenobjekte 8. „Eigenschaft lesen“-Zugriff auf alle Attribute für alle Nachfolger-Kontaktobjekte
Diese Berechtigungen gelten für alle Domänen in der Gesamtstruktur. Optional können Sie einen „DistinguishedName“ im Parameter „ADobjectDN“ bereitstellen, um diese Berechtigungen nur für das AD-Objekt (einschließlich Vererbung an Unterobjekte) festzulegen.
BEISPIELE
BEISPIEL 1
Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
BEISPIEL 2
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
BEISPIEL 3
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
BEISPIEL 4
Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Der Name des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Die Domäne des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Der DistinguishedName des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
Der „DistinguishedName“ des-AD-Zielobjekts zum Festlegen von Berechtigungen (optional).
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
Optionaler Parameter, um anzuzeigen, ob der AdminSDHolder-Container nicht mit diesen Berechtigungen aktualisiert werden sollte.
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Dieses Cmdlet unterstützt diese gängigen Parameter: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen finden Sie unter „about_CommonParameters“ (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncExchangeHybridPermissions
ZUSAMMENFASSUNG
Initialisiert Ihre Active Directory-Gesamtstruktur und Domäne für die Exchange-Hybridfunktion.
SYNTAX
UserDomain
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
[-WhatIf] [-Confirm] [<CommonParameters>]
DESCRIPTION
Die Funktion „Set-ADSyncExchangeHybridPermissions“ gewährt dem AD-Synchronisierungskonto die erforderlichen Berechtigungen, darunter die folgenden: 1. „Eigenschaft lesen/schreiben“-Zugriff auf alle Attribute für alle Nachfolger-Benutzerobjekte 2. „Eigenschaft lesen/schreiben“-Zugriff auf alle Attribute für alle Nachfolger-inetorgperson-Objekte 3. „Eigenschaft lesen/schreiben“-Zugriff auf alle Attribute für alle Nachfolger-Gruppenobjekte 4. „Eigenschaft lesen/schreiben“-Zugriff auf alle Attribute für alle Nachfolger-Kontaktobjekte
Diese Berechtigungen gelten für alle Domänen in der Gesamtstruktur. Optional können Sie einen „DistinguishedName“ im Parameter „ADobjectDN“ bereitstellen, um diese Berechtigungen nur für das AD-Objekt (einschließlich Vererbung an Unterobjekte) festzulegen.
BEISPIELE
BEISPIEL 1
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
BEISPIEL 2
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
BEISPIEL 3
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
BEISPIEL 4
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Der Name des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Die Domäne des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Der DistinguishedName des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
Der „DistinguishedName“ des-AD-Zielobjekts zum Festlegen von Berechtigungen (optional).
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
Optionaler Parameter, um anzuzeigen, ob der AdminSDHolder-Container nicht mit diesen Berechtigungen aktualisiert werden sollte.
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Dieses Cmdlet unterstützt diese gängigen Parameter: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen finden Sie unter „about_CommonParameters“ (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncExchangeMailPublicFolderPermissions
ZUSAMMENFASSUNG
Initialisiert Ihre Active Directory-Gesamtstruktur und Domäne für die Funktion „Öffentliche Ordner in Exchange-E-Mail“.
SYNTAX
UserDomain
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String>
-ADConnectorAccountDomain <String> [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm]
[<CommonParameters>]
DistinguishedName
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DESCRIPTION
Die Funktion „Set-ADSyncExchangeMailPublicFolderPermissions“ gewährt dem AD-Synchronisierungskonto die erforderlichen Berechtigungen, darunter die folgenden: 1.„Eigenschaft lesen“-Zugriff auf alle Attribute für alle Nachfolger-publicfolder-Objekte
Diese Berechtigungen gelten für alle Domänen in der Gesamtstruktur. Optional können Sie einen „DistinguishedName“ im Parameter „ADobjectDN“ bereitstellen, um diese Berechtigungen nur für das AD-Objekt (einschließlich Vererbung an Unterobjekte) festzulegen.
BEISPIELE
BEISPIEL 1
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
BEISPIEL 2
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
BEISPIEL 3
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
BEISPIEL 4
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Der Name des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Die Domäne des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Der DistinguishedName des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
Der „DistinguishedName“ des-AD-Zielobjekts zum Festlegen von Berechtigungen (optional).
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
Optionaler Parameter, um anzuzeigen, ob der AdminSDHolder-Container nicht mit diesen Berechtigungen aktualisiert werden sollte.
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Dieses Cmdlet unterstützt diese gängigen Parameter: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen finden Sie unter „about_CommonParameters“ (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncMsDsConsistencyGuidPermissions
ZUSAMMENFASSUNG
Initialisiert Ihre Active Directory-Gesamtstruktur und Domäne für die mS-DS-ConsistencyGuid-Funktion.
SYNTAX
UserDomain
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DESCRIPTION
Die Funktion „Set-ADSyncMsDsConsistencyGuidPermissions“ gewährt dem AD-Synchronisierungskonto die erforderlichen Berechtigungen, darunter die folgenden: 1. „Eigenschaft lesen/schreiben“-Zugriff auf das mS-DS-ConsistencyGuid-Attribut für alle Nachfolger-Benutzerobjekte
Diese Berechtigungen gelten für alle Domänen in der Gesamtstruktur. Optional können Sie einen „DistinguishedName“ im Parameter „ADobjectDN“ bereitstellen, um diese Berechtigungen nur für das AD-Objekt (einschließlich Vererbung an Unterobjekte) festzulegen.
BEISPIELE
BEISPIEL 1
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
BEISPIEL 2
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
BEISPIEL 3
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
BEISPIEL 4
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Der Name des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Die Domäne des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Der DistinguishedName des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
Der „DistinguishedName“ des-AD-Zielobjekts zum Festlegen von Berechtigungen (optional).
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
Optionaler Parameter, um anzuzeigen, ob der AdminSDHolder-Container nicht mit diesen Berechtigungen aktualisiert werden sollte.
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Dieses Cmdlet unterstützt diese gängigen Parameter: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen finden Sie unter „about_CommonParameters“ (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncPasswordHashSyncPermissions
ZUSAMMENFASSUNG
Initialisiert Ihre Active Directory-Gesamtstruktur und Domäne für die Kennworthashsynchronisierung.
SYNTAX
UserDomain
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [-WhatIf] [-Confirm] [<CommonParameters>]
DESCRIPTION
Die Funktion „Set-ADSyncPasswordHashSyncPermissions“ gewährt dem AD-Synchronisierungskonto die erforderlichen Berechtigungen, darunter die folgenden: 1. Replizieren von Verzeichnisänderungen 2. Replizieren von Verzeichnisänderungen: Alle
Diese Berechtigungen werden allen Domänen in der Gesamtstruktur erteilt.
BEISPIELE
BEISPIEL 1
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
BEISPIEL 2
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Der Name des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Die Domäne des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Der DistinguishedName des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Dieses Cmdlet unterstützt diese gängigen Parameter: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen finden Sie unter „about_CommonParameters“ (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncPasswordWritebackPermissions
ZUSAMMENFASSUNG
Initialisiert Ihre Active Directory-Gesamtstruktur und Domäne für das Kennwortzurückschreiben aus Microsoft Entra ID.
SYNTAX
UserDomain
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DESCRIPTION
Die Funktion „Set-ADSyncPasswordWritebackPermissions“ gewährt dem AD-Synchronisierungskonto die erforderlichen Berechtigungen, darunter die folgenden: 1. „Kennwort zurücksetzen“ für Nachfolger-Benutzerobjekte 2. „Eigenschaft schreiben“-Zugriff auf das lockoutTime-Attribut für alle Nachfolger-Benutzerobjekte 3. „Eigenschaft schreiben“-Zugriff auf das pwdLastSet-Attribut für alle Nachfolger-Benutzerobjekte
Diese Berechtigungen gelten für alle Domänen in der Gesamtstruktur. Optional können Sie einen „DistinguishedName“ im Parameter „ADobjectDN“ bereitstellen, um diese Berechtigungen nur für das AD-Objekt (einschließlich Vererbung an Unterobjekte) festzulegen.
BEISPIELE
BEISPIEL 1
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
BEISPIEL 2
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
BEISPIEL 3
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
BEISPIEL 4
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Der Name des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Die Domäne des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Der DistinguishedName des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
Der „DistinguishedName“ des-AD-Zielobjekts zum Festlegen von Berechtigungen (optional).
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
Optionaler Parameter, um anzuzeigen, ob der AdminSDHolder-Container nicht mit diesen Berechtigungen aktualisiert werden sollte.
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Dieses Cmdlet unterstützt diese gängigen Parameter: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen finden Sie unter „about_CommonParameters“ (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncRestrictedPermissions
ZUSAMMENFASSUNG
Verschärft Berechtigungen für ein AD-Objekt, das sonst in keiner geschützten AD-Sicherheitsgruppe enthalten ist. Ein typisches Beispiel ist das AD Connect-Konto (MSOL), das automatisch von Microsoft Entra Connect erstellt wird. Dieses Konto verfügt über Berechtigungen zum Replizieren für alle Domänen, lässt sich aber leicht kompromittieren, weil es nicht geschützt ist.
SYNTAX
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential>
[-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
DESCRIPTION
Die Funktion „Set-ADSyncRestrictedPermissions“ verschärft die Berechtigungen des bereitgestellten Kontos. Das Verschärfen von Berechtigungen umfasst die folgenden Schritte:
Deaktivieren der Vererbung für das angegebene Objekt
Entfernen aller ACEs für das angegebene Objekt, mit Ausnahme von ACEs für SELF Wir möchten die Standardberechtigungen für SELF beibehalten.
Weisen Sie diese speziellen Berechtigungen zu:
type Name Zugriff Gilt für Allow SYSTEM Vollzugriff Dieses Objekt Allow Organisationsadministratoren Vollzugriff Dieses Objekt Allow Domänenadministratoren Vollzugriff Dieses Objekt Allow Administratoren Vollzugriff Dieses Objekt Allow Domänencontroller des Unternehmens Inhalt auflisten
Alle Eigenschaften lesen
LeseberechtigungenDieses Objekt Allow Authentifizierte Benutzer Inhalt auflisten
Alle Eigenschaften lesen
LeseberechtigungenDieses Objekt
BEISPIELE
BEISPIEL 1
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN "CN=TestAccount1,CN=Users,DC=Contoso,DC=com" -Credential $(Get-Credential)
PARAMETERS
-ADConnectorAccountDN
Der „DistinguishedName“ des Active Directory-Kontos, dessen Berechtigungen verschärft werden müssen. Dies ist normalerweise das Konto „MSOL_nnnnnnnnnn“ oder ein benutzerdefiniertes Domänenkonto, das in Ihrem AD-Connector konfiguriert ist.
Type: String
Parameter Sets: (All)
Aliases:
Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Credential
Anmeldeinformationen des Administrators, der über die erforderlichen Berechtigungen zum Einschränken der Berechtigungen des Kontos „ADConnectorAccountDN“ verfügt. Dies ist meist der Unternehmens- oder Domänenadministrator. Verwenden Sie den vollqualifizierten Domänennamen des Administratorkontos, um Fehler bei der Kontosuche zu vermeiden. Beispiel: CONTOSO\admin
Type: PSCredential
Parameter Sets: (All)
Aliases:
Required: True
Position: 2
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-DisableCredentialValidation
Wenn „DisableCredentialValidation“ verwendet wird, überprüft die Funktion weder, ob die in „-Credential“ bereitgestellten Anmeldeinformationen in AD gültig sind, noch ob das angegebene Konto die erforderlichen Berechtigungen zum Einschränken der Berechtigungen für das Konto „ADConnectorAccountDN“ besitzt.
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Dieses Cmdlet unterstützt diese gängigen Parameter: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen finden Sie unter „about_CommonParameters“ (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncUnifiedGroupWritebackPermissions
ZUSAMMENFASSUNG
Initialisiert Ihre Active Directory-Gesamtstruktur und Domäne für das Gruppenzurückschreiben aus Microsoft Entra ID.
SYNTAX
UserDomain
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DESCRIPTION
Die Funktion „Set-ADSyncUnifiedGroupWritebackPermissions“ gewährt dem AD-Synchronisierungskonto die erforderlichen Berechtigungen, darunter die folgenden: 1. „Generisches Lesen/Schreiben“, „Löschen“, „Struktur löschen“ und „Untergeordnetes Objekt erstellen/löschen“ für alle Gruppenobjekttypen und Unterobjekte.
Diese Berechtigungen gelten für alle Domänen in der Gesamtstruktur. Optional können Sie einen „DistinguishedName“ im Parameter „ADobjectDN“ bereitstellen, um diese Berechtigungen nur für das AD-Objekt (einschließlich Vererbung an Unterobjekte) festzulegen. In diesem Fall ist „ADobjectDN“ der Distinguished Name des Containers, den Sie mit der GroupWriteback-Funktion verknüpfen möchten.
BEISPIELE
BEISPIEL 1
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
BEISPIEL 2
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
BEISPIEL 3
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
BEISPIEL 4
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Der Name des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Die Domäne des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Der DistinguishedName des Active Directory-Kontos, das von Microsoft Entra Connect Sync zum Verwalten von Objekten im Verzeichnis verwendet wird.
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
Der „DistinguishedName“ des-AD-Zielobjekts zum Festlegen von Berechtigungen (optional).
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
Optionaler Parameter, um anzuzeigen, ob der AdminSDHolder-Container nicht mit diesen Berechtigungen aktualisiert werden sollte.
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Dieses Cmdlet unterstützt diese gängigen Parameter: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen finden Sie unter „about_CommonParameters“ (https://go.microsoft.com/fwlink/?LinkID=113216).
Show-ADSyncADObjectPermissions
ZUSAMMENFASSUNG
Zeigt Berechtigungen eines angegebenen AD-Objekts an.
SYNTAX
Show-ADSyncADObjectPermissions [-ADobjectDN] <String> [<CommonParameters>]
DESCRIPTION
Diese Funktion gibt alle aktuell für ein bestimmtes, im Parameter „-ADobjectDN“ angegebenes AD-Objekt festgelegten AD-Berechtigungen zurück. Der „ADobjectDN“ muss in einem „DistinguishedName“-Format angegeben werden.
BEISPIELE
BEISPIEL 1
Show-ADSyncADObjectPermissions -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADobjectDN
{{ADobjectDN-Beschreibung eintragen}}
Type: String
Parameter Sets: (All)
Aliases:
Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Dieses Cmdlet unterstützt diese gängigen Parameter: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen finden Sie unter „about_CommonParameters“ (https://go.microsoft.com/fwlink/?LinkID=113216).