Freigeben über


gMSA-PowerShell-Cmdlets für den Microsoft Entra-Bereitstellungs-Agent

In diesem Dokument werden die gMSA-PowerShell-Cmdlets für den Agent für die Microsoft Entra Connect-Cloudbereitstellung beschrieben. Diese Cmdlets ermöglichen Ihnen eine feinere Granularität der Berechtigungen, die auf das gruppenverwaltete Dienstkonto (gMSA, group Managed Service Account) angewendet werden. Standardmäßig wendet die Microsoft Entra-Cloudsynchronisierung beim Installieren des Cloudbereitstellungsagenten alle Berechtigungen ähnlich wie Microsoft Entra Connect auf das Standard-gMSA oder ein benutzerdefiniertes gMSA an.

In diesem Dokument werden die folgenden Cmdlets behandelt:

Set-AADCloudSyncPermissions

Set-AADCloudSyncRestrictedPermissions

So verwenden Sie die Cmdlets:

Die folgenden Voraussetzungen müssen erfüllt sein, um diese Cmdlets zu verwenden.

  1. Installieren Sie den Bereitstellungs-Agent.

  2. Importieren Sie das PowerShell-Modul für den Bereitstellungs-Agent in eine PowerShell-Sitzung.

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"
    
  3. Diese Cmdlets erfordern den Parameter „Credential“, der übergeben werden kann. Sie werden aufgefordert, diesen Parameter einzugeben, wenn er nicht in der Befehlszeile angegeben ist. Abhängig von der verwendeten Cmdlet-Syntax müssen diese Anmeldeinformationen ein Unternehmensadministratorkonto oder zumindest ein Domänenadministrator der Zieldomäne sein, für die Sie die Berechtigungen festlegen.

  4. So erstellen Sie eine Variable für Anmeldeinformationen:

    $credential = Get-Credential

  5. Sie können das folgende Cmdlet verwenden, um Active Directory-Berechtigungen für den Cloudbereitstellungs-Agenten festzulegen. Dadurch werden Berechtigungen im Stamm der Domäne gewährt, über die das Dienstkonto lokale Active Directory Verzeichnisobjekte verwalten kann. Beispiele zum Festlegen der Berechtigungen finden Sie unten unter Verwenden von Set-AADCloudSyncPermissions.

    Set-AADCloudSyncPermissions -EACredential $credential

  6. Um Active Directory-Berechtigungen einzuschränken, die standardmäßig auf dem Cloudbereitstellungs-Agent-Konto festgelegt sind, können Sie das folgende Cmdlet verwenden. Dadurch wird die Sicherheit des Dienstkontos durch das Deaktivieren Berechtigungsvererbung erhöht. Außerdem werden alle vorhandenen Berechtigungen entfernt, mit Ausnahme von SELF und vollständigen Zugriffsberechtigungen für Administratoren. Beispiele für das Einschränken der Berechtigungen finden Sie unten unter Verwenden von Set-AADCloudSyncRestrictedPermission.

    Set-AADCloudSyncRestrictedPermission -Credential $credential

Verwenden von Set-AADCloudSyncPermissions

Set-AADCloudSyncPermissions unterstützt die folgenden Berechtigungstypen, die mit den von Azure AD Connect Classic Sync (ADSync) verwendeten Berechtigungen identisch sind. Die folgenden Berechtigungstypen werden unterstützt:

Berechtigungstyp Beschreibung
BasicRead Siehe BasicRead-Berechtigungen für Microsoft Entra Connect
PasswordHashSync Siehe PasswordHashSync-Berechtigungen für Microsoft Entra Connect
PasswordWriteBack Siehe PasswordWriteBack-Berechtigungen für Microsoft Entra Connect
HybridExchangePermissions Siehe HybridExchangePermissions-Berechtigungen für Microsoft Entra Connect
ExchangeMailPublicFolderPermissions Siehe ExchangeMailPublicFolderPermissions-Berechtigungen für Microsoft Entra Connect
UserGroupCreateDelete Hierbei handelt es sich um Berechtigungen für die Gruppenbereitstellung der Microsoft Entra-Cloudsynchronisierung in AD. Dabei wird „Benutzerobjekte erstellen/löschen“ auf „Dieses und alle untergeordneten Objekte“ sowie „Gruppenobjekte erstellen/löschen“ auf „Dieses und alle untergeordneten Objekte“ angewendet.
All Wendet alle obigen Berechtigungen an.

Sie können AADCloudSyncPermissions-Berechtigungen auf eine von zwei Arten verwenden:

Gewähren von Berechtigungen für alle konfigurierten Domänen

Wenn Sie für alle konfigurierten Domänen bestimmte Berechtigungen erteilen, muss ein Unternehmensadministratorkonto verwendet werden.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential 

Gewähren von Berechtigungen für eine bestimmte Domäne

Um bestimmte Berechtigungen für eine bestimmte Domäne zu gewähren, müssen Sie sich als Unternehmensadministrator oder Domänenadministrator der Zieldomäne anmelden. Zuvor muss allerdings die Zieldomäne über den Assistenten konfiguriert werden.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Verwenden von Set-AADCloudSyncRestrictedPermissions

Für zusätzliche Sicherheit werden die Berechtigungen für das Cloudbereitstellungs-Agent-Konto selbst Set-AADCloudSyncRestrictedPermissions erhöht. Zur Härtung der Berechtigungen für das Cloudbereitstellungs-Agent-Konto nehmen Sie die folgenden Änderungen vor:

  • Vererbung deaktivieren

  • Entfernen Sie alle Standardberechtigungen, außer spezielle ACEs für SELF.

  • Richten Sie uneingeschränkte Zugriffsberechtigungen für SYSTEM, Administratoren, Domänenadministratoren und Enterprise-Administratoren ein.

  • Legen Sie Leseberechtigungen für authentifizierte Benutzer und Enterprise-Domänencontroller fest.

    Über den Parameter „-Credential“ müssen Sie das Administratorkonto angeben, das die erforderlichen Berechtigungen besitzt, um Active Directory-Berechtigungen für das AD-Zielobjekt einzuschränken. Dies ist normalerweise der Unternehmens- oder Domänenadministrator.

Beispiel:

$credential = Get-Credential 
Set-AADCloudSyncRestrictedPermissions -Credential $credential  

Nächste Schritte