gMSA-PowerShell-Cmdlets für den Agent für die Azure AD Connect-Cloudbereitstellung
In diesem Dokument werden die gMSA-PowerShell-Cmdlets für den Agent für die Azure AD Connect-Cloudbereitstellung beschrieben. Diese Cmdlets ermöglichen Ihnen eine feinere Granularität der Berechtigungen, die auf das gruppenverwaltete Dienstkonto (gMSA, group Managed Service Account) angewendet werden. Standardmäßig wendet die Azure AD Connect-Cloudsynchronisierung beim Installieren des Cloudbereitstellungs-Agenten alle Berechtigungen für Azure AD Connect auf das Standard-gMSA oder ein benutzerdefiniertes gMSA an.
In diesem Dokument werden die folgenden Cmdlets behandelt:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
So verwenden Sie die Cmdlets:
Die folgenden Voraussetzungen müssen erfüllt sein, um diese Cmdlets zu verwenden.
Installieren Sie den Bereitstellungs-Agent.
Importieren Sie das Bereitstellungs-Agent-PS-Modul in eine PowerShell-Sitzung.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Diese Cmdlets erfordern den Parameter „
Credential“, der übergeben werden kann. Sie werden aufgefordert, diesen Parameter einzugeben, wenn er nicht in der Befehlszeile angegeben ist. Abhängig von der verwendeten Cmdlet-Syntax müssen diese Anmeldeinformationen ein Unternehmensadministratorkonto oder zumindest ein Domänenadministrator der Zieldomäne sein, für die Sie die Berechtigungen festlegen.So erstellen Sie eine Variable für Anmeldeinformationen:
$credential = Get-CredentialSie können das folgende Cmdlet verwenden, um Active Directory-Berechtigungen für den Cloudbereitstellungs-Agenten festzulegen. Dadurch werden Berechtigungen im Stamm der Domäne gewährt, über die das Dienstkonto lokale Active Directory Verzeichnisobjekte verwalten kann. Beispiele zum Festlegen der Berechtigungen finden Sie unten unter Verwenden von Set-AADCloudSyncPermissions.
Set-AADCloudSyncPermissions -EACredential $credentialUm Active Directory-Berechtigungen einzuschränken, die standardmäßig auf dem Cloudbereitstellungs-Agent-Konto festgelegt sind, können Sie das folgende Cmdlet verwenden. Dadurch wird die Sicherheit des Dienstkontos durch das Deaktivieren Berechtigungsvererbung erhöht. Außerdem werden alle vorhandenen Berechtigungen entfernt, mit Ausnahme von SELF und vollständigen Zugriffsberechtigungen für Administratoren. Beispiele für das Einschränken der Berechtigungen finden Sie unten unter Verwenden von Set-AADCloudSyncRestrictedPermission.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Verwenden von Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions unterstützt die folgenden Berechtigungstypen, die mit den von Azure AD Connect Classic Sync (ADSync) verwendeten Berechtigungen identisch sind. Die folgenden Berechtigungstypen werden unterstützt:
| Berechtigungstyp | Beschreibung |
|---|---|
| BasicRead | Siehe BasicRead-Berechtigungen für Azure AD Connect |
| PasswordHashSync | Siehe PasswordHashSync-Berechtigungen für Azure AD Connect |
| PasswordWriteBack | Siehe PasswordWriteBack-Berechtigungen für Azure AD Connect |
| HybridExchangePermissions | Siehe HybridExchangePermissions-Berechtigungen für Azure AD Connect |
| ExchangeMailPublicFolderPermissions | Siehe ExchangeMailPublicFolderPermissions-Berechtigungen für Azure AD Connect |
| CloudHR | Wendet „Benutzerobjekte erstellen/löschen“ auf „Dieses und alle untergeordneten Objekte“ an. |
| Alle | Wendet alle obigen Berechtigungen an. |
Sie können AADCloudSyncPermissions-Berechtigungen auf eine von zwei Arten verwenden:
- Gewähren von Berechtigungen für alle konfigurierten Domänen
- Gewähren von Berechtigungen für eine bestimmte Domäne
Gewähren von Berechtigungen für alle konfigurierten Domänen
Wenn Sie für alle konfigurierten Domänen bestimmte Berechtigungen erteilen, muss ein Unternehmensadministratorkonto verwendet werden.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Gewähren von Berechtigungen für eine bestimmte Domäne
Um bestimmte Berechtigungen für eine bestimmte Domäne zu gewähren, müssen Sie sich als Unternehmensadministrator oder Domänenadministrator der Zieldomäne anmelden. Zuvor muss allerdings die Zieldomäne über den Assistenten konfiguriert werden.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Verwenden von Set-AADCloudSyncRestrictedPermissions
Für zusätzliche Sicherheit werden die Berechtigungen für das Cloudbereitstellungs-Agent-Konto selbst Set-AADCloudSyncRestrictedPermissions erhöht. Zur Härtung der Berechtigungen für das Cloudbereitstellungs-Agent-Konto nehmen Sie die folgenden Änderungen vor:
Vererbung deaktivieren
Entfernen Sie alle Standardberechtigungen, außer spezielle ACEs für SELF.
Richten Sie uneingeschränkte Zugriffsberechtigungen für SYSTEM, Administratoren, Domänenadministratoren und Enterprise-Administratoren ein.
Legen Sie Leseberechtigungen für authentifizierte Benutzer und Enterprise-Domänencontroller fest.
Über den Parameter „-Credential“ müssen Sie das Administratorkonto angeben, das die erforderlichen Berechtigungen besitzt, um Active Directory-Berechtigungen für das AD-Zielobjekt einzuschränken. Dies ist normalerweise der Unternehmens- oder Domänenadministrator.
Beispiel:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential