gMSA-PowerShell-Cmdlets für den Agent für die Azure AD Connect-Cloudbereitstellung

In diesem Dokument werden die gMSA-PowerShell-Cmdlets für den Agent für die Azure AD Connect-Cloudbereitstellung beschrieben. Diese Cmdlets ermöglichen Ihnen eine feinere Granularität der Berechtigungen, die auf das gruppenverwaltete Dienstkonto (gMSA, group Managed Service Account) angewendet werden. Standardmäßig wendet die Azure AD Connect-Cloudsynchronisierung beim Installieren des Cloudbereitstellungs-Agenten alle Berechtigungen für Azure AD Connect auf das Standard-gMSA oder ein benutzerdefiniertes gMSA an.

In diesem Dokument werden die folgenden Cmdlets behandelt:

Set-AADCloudSyncPermissions

Set-AADCloudSyncRestrictedPermissions

So verwenden Sie die Cmdlets:

Die folgenden Voraussetzungen müssen erfüllt sein, um diese Cmdlets zu verwenden.

  1. Installieren Sie den Bereitstellungs-Agent.

  2. Importieren Sie das Bereitstellungs-Agent-PS-Modul in eine PowerShell-Sitzung.

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"
    
  3. Diese Cmdlets erfordern den Parameter „Credential“, der übergeben werden kann. Sie werden aufgefordert, diesen Parameter einzugeben, wenn er nicht in der Befehlszeile angegeben ist. Abhängig von der verwendeten Cmdlet-Syntax müssen diese Anmeldeinformationen ein Unternehmensadministratorkonto oder zumindest ein Domänenadministrator der Zieldomäne sein, für die Sie die Berechtigungen festlegen.

  4. So erstellen Sie eine Variable für Anmeldeinformationen:

    $credential = Get-Credential

  5. Sie können das folgende Cmdlet verwenden, um Active Directory-Berechtigungen für den Cloudbereitstellungs-Agenten festzulegen. Dadurch werden Berechtigungen im Stamm der Domäne gewährt, über die das Dienstkonto lokale Active Directory Verzeichnisobjekte verwalten kann. Beispiele zum Festlegen der Berechtigungen finden Sie unten unter Verwenden von Set-AADCloudSyncPermissions.

    Set-AADCloudSyncPermissions -EACredential $credential

  6. Um Active Directory-Berechtigungen einzuschränken, die standardmäßig auf dem Cloudbereitstellungs-Agent-Konto festgelegt sind, können Sie das folgende Cmdlet verwenden. Dadurch wird die Sicherheit des Dienstkontos durch das Deaktivieren Berechtigungsvererbung erhöht. Außerdem werden alle vorhandenen Berechtigungen entfernt, mit Ausnahme von SELF und vollständigen Zugriffsberechtigungen für Administratoren. Beispiele für das Einschränken der Berechtigungen finden Sie unten unter Verwenden von Set-AADCloudSyncRestrictedPermission.

    Set-AADCloudSyncRestrictedPermission -Credential $credential

Verwenden von Set-AADCloudSyncPermissions

Set-AADCloudSyncPermissions unterstützt die folgenden Berechtigungstypen, die mit den von Azure AD Connect Classic Sync (ADSync) verwendeten Berechtigungen identisch sind. Die folgenden Berechtigungstypen werden unterstützt:

Berechtigungstyp Beschreibung
BasicRead Siehe BasicRead-Berechtigungen für Azure AD Connect
PasswordHashSync Siehe PasswordHashSync-Berechtigungen für Azure AD Connect
PasswordWriteBack Siehe PasswordWriteBack-Berechtigungen für Azure AD Connect
HybridExchangePermissions Siehe HybridExchangePermissions-Berechtigungen für Azure AD Connect
ExchangeMailPublicFolderPermissions Siehe ExchangeMailPublicFolderPermissions-Berechtigungen für Azure AD Connect
CloudHR Wendet „Benutzerobjekte erstellen/löschen“ auf „Dieses und alle untergeordneten Objekte“ an.
Alle Wendet alle obigen Berechtigungen an.

Sie können AADCloudSyncPermissions-Berechtigungen auf eine von zwei Arten verwenden:

Gewähren von Berechtigungen für alle konfigurierten Domänen

Wenn Sie für alle konfigurierten Domänen bestimmte Berechtigungen erteilen, muss ein Unternehmensadministratorkonto verwendet werden.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential 

Gewähren von Berechtigungen für eine bestimmte Domäne

Um bestimmte Berechtigungen für eine bestimmte Domäne zu gewähren, müssen Sie sich als Unternehmensadministrator oder Domänenadministrator der Zieldomäne anmelden. Zuvor muss allerdings die Zieldomäne über den Assistenten konfiguriert werden.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Verwenden von Set-AADCloudSyncRestrictedPermissions

Für zusätzliche Sicherheit werden die Berechtigungen für das Cloudbereitstellungs-Agent-Konto selbst Set-AADCloudSyncRestrictedPermissions erhöht. Zur Härtung der Berechtigungen für das Cloudbereitstellungs-Agent-Konto nehmen Sie die folgenden Änderungen vor:

  • Vererbung deaktivieren

  • Entfernen Sie alle Standardberechtigungen, außer spezielle ACEs für SELF.

  • Richten Sie uneingeschränkte Zugriffsberechtigungen für SYSTEM, Administratoren, Domänenadministratoren und Enterprise-Administratoren ein.

  • Legen Sie Leseberechtigungen für authentifizierte Benutzer und Enterprise-Domänencontroller fest.

    Über den Parameter „-Credential“ müssen Sie das Administratorkonto angeben, das die erforderlichen Berechtigungen besitzt, um Active Directory-Berechtigungen für das AD-Zielobjekt einzuschränken. Dies ist normalerweise der Unternehmens- oder Domänenadministrator.

Beispiel:

$credential = Get-Credential 
Set-AADCloudSyncRestrictedPermissions -Credential $credential