Installieren von Microsoft Entra Connect mit delegierten SQL-Administratorberechtigungen
Vor dem neuesten Microsoft Entra Connect-Build wurde das Delegieren von Administratorrechten bei der Bereitstellung von Konfigurationen, die SQL erforderten, nicht unterstützt. Benutzer, die Microsoft Entra Connect installieren wollten, benötigten Serveradministratorberechtigungen („SA“) auf dem SQL-Server.
Mit dem neuesten Release von Microsoft Entra Connect kann der SQL-Administrator nun eine Out-of-Band-Datenbankbereitstellung ausführen, sodass die Datenbank anschließend vom Microsoft Entra Connect-Administrator mit Datenbankbesitzerrechten installiert werden kann.
Voraussetzungen
Um dieses Feature verwenden zu können, müssen Sie beachten, dass es mehrere variable Komponenten gibt, für die jeweils ein anderer Administrator in Ihrer Organisation verantwortlich sein kann. In der folgenden Tabelle werden die einzelnen Rollen und ihre jeweiligen Aufgaben bei der Bereitstellung von Microsoft Entra Connect mit diesem Feature zusammengefasst.
Rolle | BESCHREIBUNG |
---|---|
AD-Administrator der Domäne oder Gesamtstruktur | Erstellt das Dienstkonto auf Domänenebene, das von Microsoft Entra Connect zum Ausführen des Synchronisierungsdiensts verwendet wird. Weitere Informationen zu Dienstkonten finden Sie unter Konten und Berechtigungen. |
SQL-Administrator | Erstellt die ADSync-Datenbank und gewährt dem Microsoft Entra Connect-Administrator und dem Dienstkonto, das vom Administrator der Domäne/Gesamtstruktur erstellt wurde, Anmelde- und dbo-Berechtigungen. |
Microsoft Entra Connect-Administrator | Installiert Microsoft Entra Connect und gibt während der benutzerdefinierten Installation das Dienstkonto an. |
Schritte zum Installieren von Microsoft Entra Connect mit delegierten SQL-Berechtigungen
Gehen Sie zum Out-of-Band-Bereitstellen der Datenbank und Installieren von Microsoft Entra Connect mit Besitzerberechtigungen für die Datenbank wie folgt vor.
Hinweis
Obwohl es nicht erforderlich ist, wird dringend empfohlen, beim Erstellen der Datenbank als Sortierung Latin1_General_CI_AS auszuwählen.
Lassen Sie die ADSync-Datenbank durch den SQL-Administrator mit einer Sortierreihenfolge unter Berücksichtigung der Groß-/Kleinschreibung (Latin1_General_CI_AS) erstellen. Wiederherstellungsmodell, Kompatibilitätsgrad und Einschlusstyp werden auf die richtigen Werte festgelegt, wenn Microsoft Entra Connect installiert wird. Die Sortierreihenfolge muss jedoch vom SQL-Administrator ordnungsgemäß festgelegt werden, da andernfalls Microsoft Entra Connect die Installation blockiert. Zum Wiederherstellen muss der Dienstadministrator die Datenbank löschen und neu erstellen.
Gewähren Sie dem Microsoft Entra Connect-Administrator und dem Domänendienstkonto die folgenden Berechtigungen:
- SQL-Anmeldung
- Datenbankbesitzerrechte (dbo)
Hinweis
Microsoft Entra Connect unterstützt keine Anmeldungen mit einer geschachtelten Mitgliedschaft. Dies bedeutet, dass Ihr Microsoft Entra Connect-Administratorkonto und Ihr Domänendienstkonto mit einem Login verknüpft sein müssen, dem dbo-Rechte gewährt werden. Es kann nicht einfach ein Mitglied einer Gruppe sein, die einer Anmeldung mit dbo-Rechten zugewiesen ist.
Senden Sie eine E-Mail mit den Namen für den SQL-Server und die Instanz, die bei der Installation von Microsoft Entra Connect verwendet werden sollen, an den Microsoft Entra Connect-Administrator.
Weitere Informationen
Nachdem die Datenbank bereitgestellt wurde, kann der Microsoft Entra Connect-Administrator die lokale Synchronisierung nach Bedarf installieren und konfigurieren.
Wenn der SQL-Administrator die ADSync-Datenbank aus einer früheren Microsoft Entra Connect-Sicherung wiederhergestellt hat, müssen Sie den neuen Microsoft Entra Connect-Server unter Verwendung einer vorhandenen Datenbank installieren. Weitere Informationen zur Installation von Microsoft Entra Connect mit einer vorhandenen Datenbank finden Sie unter Installieren von Microsoft Entra Connect mit einer vorhandenen ADSync-Datenbank.