Microsoft Entra Csatlakozás: Az AD DS Csatlakozás or fiókengedélyeinek konfigurálása
Az elnevezett ADSyncConfig.psm1 PowerShell-modul az 1.1.880.0-s buildtel lett bevezetve (2018 augusztusában jelent meg), amely parancsmagok gyűjteményét tartalmazza, amelyek segítségével konfigurálhatja a Microsoft Entra Csatlakozás üzemelő példányához megfelelő Active Directory-engedélyeket.
Áttekintés
Az alábbi PowerShell-parancsmagok az AD DS Csatlakozás or-fiók Active Directory-engedélyeinek beállításához használhatók a Microsoft Entra Csatlakozás engedélyezéséhez kiválasztott összes funkcióhoz. A problémák elkerülése érdekében előre el kell készítenie az Active Directory-engedélyeket, amikor egyéni tartományi fiókkal szeretné telepíteni a Microsoft Entra Csatlakozás az erdőhöz való csatlakozáshoz. Ez az ADSyncConfig modul a Microsoft Entra Csatlakozás üzembe helyezése után is konfigurálható engedélyekre.
A Microsoft Entra Csatlakozás Express telepítésekor automatikusan létrehozott fiók (MSOL_nnnnnnnnnn) jön létre az Active Directoryban az összes szükséges engedély birtokában, ezért ezt az ADSyncConfig modult csak akkor kell használni, ha letiltotta az engedélyek öröklését a szervezeti egységeken vagy a Microsoft Entra-azonosítóval szinkronizálni kívánt Active Directory-objektumokon.
Engedélyek összegzése
Az alábbi táblázat összefoglalja az AD-objektumokhoz szükséges engedélyeket:
| Feature | Permissions |
|---|---|
| ms-DS-ConsistencyGuid feature | Olvasási és írási engedélyek az ms-DS-ConsistencyGuid attribútumhoz a tervezési fogalmakban dokumentálva – Ms-DS-ConsistencyGuid használata sourceAnchorként. |
| Password hash sync | |
| Exchange hybrid deployment | Olvasási és írási engedélyek az Exchange hibrid visszaírásában dokumentált attribútumokhoz felhasználók, csoportok és partnerek számára. |
| Exchange Mail Public Folder | Read permissions to the attributes documented in Exchange Mail Public Folder for public folders. |
| Password writeback | Olvasási és írási engedélyek a felhasználók jelszókezelésének első lépéseiben dokumentált attribútumokhoz. |
| Device writeback | Az eszközvisszaíróban dokumentált eszközobjektumokra és tárolókra vonatkozó olvasási és írási engedélyek. |
| Group writeback | Szinkronizált Office 365-csoportok csoportobjektumainak olvasása, létrehozása, frissítése és törlése. |
Az ADSyncConfig PowerShell-modul használata
Az ADSyncConfig modulhoz az AD DS távoli kiszolgálói Rendszergazda istration Tools (RSAT) szükséges, mivel az az AD DS PowerShell-moduljától és eszközeitől függ. Az RSAT for AD DS telepítéséhez nyisson meg egy Windows PowerShell-ablakot a "Futtató Rendszergazda istrator" beállítással, és hajtsa végre a következőt:
Install-WindowsFeature RSAT-AD-Tools
Megjegyzés:
A C:\Program Files\Microsoft Entra Csatlakozás\AdSyncConfig\ADSyncConfig.psm1 fájlt egy olyan tartományvezérlőre is másolhatja, amelyre már telepítve van az RSAT for AD DS, és onnan használja ezt a PowerShell-modult. Vegye figyelembe, hogy egyes parancsmagok csak a Microsoft Entra Csatlakozás futtató számítógépen futtathatók.
Az ADSyncConfig használatának megkezdéséhez be kell töltenie a modult egy Windows PowerShell-ablakban:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
A modulban szereplő összes parancsmag ellenőrzéséhez írja be a következőt:
Get-Command -Module AdSyncConfig
Minden parancsmag ugyanazokat a paramétereket használja az AD DS Csatlakozás or-fiók és egy Rendszergazda SDHolder kapcsoló bemenetéhez. Az AD DS Csatlakozás or-fiók megadásához megadhatja a fiók nevét és tartományát, vagy csak a fiók megkülönböztető nevét (DN),
Pl.:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
Vagy:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Ügyeljen arra, <ADDomainName><ADAccountDN> hogy a környezetének megfelelő értékeket cserélje le<ADAccountName>.
Ha módosítani szeretné az engedélyeket a Rendszergazda SDHolder tárolón, használja a kapcsolót-IncludeAdminSdHolders. Vegye figyelembe, hogy ez nem ajánlott.
Alapértelmezés szerint az összes beállított engedély-parancsmag megpróbál AD DS-engedélyeket beállítani az erdő egyes tartományainak gyökerén, ami azt jelenti, hogy a PowerShell-munkamenetet futtató felhasználónak tartományi Rendszergazda istrator-jogosultságokra van szüksége az erdő minden tartományához. Emiatt a követelmény miatt ajánlott egy Enterprise Rendszergazda istratort használni az erdő gyökeréből. Ha a Microsoft Entra Csatlakozás üzembe helyezése több AD DS-Csatlakozás orrel rendelkezik, ugyanazt a parancsmagot kell futtatnia minden olyan erdőn, amelyen AD DS Csatlakozás or található.
Egy adott szervezeti egységhez vagy AD DS-objektumhoz is beállíthat engedélyeket a paraméterrel -ADobjectDN , majd annak a célobjektumnak a DN-ével, ahol engedélyeket szeretne beállítani. Cél ADobjectDN használata esetén a parancsmag csak erre az objektumra állítja be az engedélyeket, és nem a tartománygyökérre vagy a Rendszergazda SDHolder tárolóra. Ez a paraméter akkor lehet hasznos, ha bizonyos szervezeti egységek vagy AD DS-objektumok engedélyöröklése le van tiltva (lásd: Az AD DS-objektumok megkeresése engedélyörökléssel letiltva)
A gyakori paraméterek alól kivételt képez az Set-ADSyncRestrictedPermissions a parancsmag, amely az AD DS Csatlakozás or-fiók engedélyeinek beállítására szolgál, és a Set-ADSyncPasswordHashSyncPermissions parancsmag, mivel a Jelszókivonat-szinkronizáláshoz szükséges engedélyek csak a tartománygyökérnél vannak beállítva, ezért ez a parancsmag nem tartalmazza a paramétereket vagy -IncludeAdminSdHolders a -ObjectDN paramétereket.
Az AD DS-Csatlakozás or-fiók meghatározása
Ha a Microsoft Entra Csatlakozás már telepítve van, és ellenőrizni szeretné, hogy mi a Microsoft Entra Csatlakozás által jelenleg használt AD DS Csatlakozás or-fiók, végrehajthatja a parancsmagot:
Get-ADSyncADConnectorAccount
Letiltott engedélyöröklésű AD DS-objektumok megkeresése
Ha ellenőrizni szeretné, hogy van-e letiltott engedélyöröklésű AD DS-objektum, futtassa a következőt:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
Alapértelmezés szerint ez a parancsmag csak letiltott öröklésű szervezeti egységeket keres, de a paraméterben -ObjectClass más AD DS objektumosztályokat is megadhat, vagy az összes objektumosztályhoz használhatja a "*" értéket az alábbiak szerint:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Objektum AD DS-engedélyeinek megtekintése
Az alábbi parancsmaggal megtekintheti az Active Directory-objektumokon jelenleg beállított engedélyek listáját a Megkülönböztető név megadásával:
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
Az AD DS Connector-fiók engedélyeinek konfigurálása
Egyszerű írásvédett engedélyek konfigurálása
Ha alapszintű írásvédett engedélyeket szeretne beállítani az AD DS Csatlakozás or-fiókhoz, ha nem használ Semmilyen Microsoft Entra Csatlakozás funkciót, futtassa a következőt:
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Vagy;
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Ez a parancsmag a következő engedélyeket állítja be:
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezve | AD DS Csatlakozás or-fiók | Az összes tulajdonság beolvasása | Leszármazott eszközobjektumok |
| Engedélyezve | AD DS Csatlakozás or-fiók | Az összes tulajdonság beolvasása | Leszármazott InetOrgPerson-objektumok |
| Engedélyezve | AD DS Csatlakozás or-fiók | Az összes tulajdonság beolvasása | Leszármazott számítógép-objektumok |
| Engedélyezve | AD DS Csatlakozás or-fiók | Az összes tulajdonság beolvasása | Leszármazott foreignSecurityPrincipal objektumok |
| Engedélyezve | AD DS Csatlakozás or-fiók | Az összes tulajdonság beolvasása | Leszármazottcsoport-objektumok |
| Engedélyezve | AD DS Csatlakozás or-fiók | Az összes tulajdonság beolvasása | Leszármazott felhasználói objektumok |
| Engedélyezve | AD DS Csatlakozás or-fiók | Az összes tulajdonság beolvasása | Leszármazott névjegyobjektumai |
| Engedélyezve | AD DS Csatlakozás or-fiók | Címtármódosítások replikálása | Csak ez az objektum (tartománygyökér) |
MS-DS-Consistency-Guid engedélyek konfigurálása
Az AD DS Csatlakozás or-fiók engedélyeinek beállításához az ms-Ds-Consistency-Guid attribútumot használja forráshorgonyként (más néven "Az Azure kezelje a forráshorgonyt nekem" lehetőség) futtassa a következőt:
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Vagy;
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Ez a parancsmag a következő engedélyeket állítja be:
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezve | AD DS Csatlakozás or-fiók | Olvasási/írási tulajdonság | Leszármazott felhasználói objektumok |
Jelszókivonat-szinkronizálás engedélyei
Az AD DS Csatlakozás or-fiók engedélyeinek beállításához a jelszókivonat-szinkronizálás használatakor futtassa a következőt:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
Vagy;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
Ez a parancsmag a következő engedélyeket állítja be:
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezve | AD DS Csatlakozás or-fiók | Címtármódosítások replikálása | Csak ez az objektum (tartománygyökér) |
| Engedélyezve | AD DS Csatlakozás or-fiók | A címtár replikálása az összeset módosítja | Csak ez az objektum (tartománygyökér) |
Jelszóvisszaíró engedélyek
Az AD DS Csatlakozás or-fiók engedélyeinek jelszóvisszaíró használatakor történő beállításához futtassa a következőt:
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Vagy;
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Ez a parancsmag a következő engedélyeket állítja be:
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezve | AD DS Csatlakozás or-fiók | Jelszó alaphelyzetbe állítása | Leszármazott felhasználói objektumok |
| Engedélyezve | AD DS Csatlakozás or-fiók | Tulajdonság lockoutTime írása | Leszármazott felhasználói objektumok |
| Engedélyezve | AD DS Csatlakozás or-fiók | A pwdLastSet tulajdonság írása | Leszármazott felhasználói objektumok |
Csoportvisszaíró engedélyek
Az AD DS Csatlakozás or-fiók engedélyeinek csoportvisszaíró használatakor történő beállításához futtassa a következőt:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Vagy;
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Ez a parancsmag a következő engedélyeket állítja be:
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezve | AD DS Csatlakozás or-fiók | Általános olvasás/írás | Az objektumtípuscsoport és alobjektumok összes attribútuma |
| Engedélyezve | AD DS Csatlakozás or-fiók | Gyermekobjektum létrehozása/törlése | Az objektumtípuscsoport és alobjektumok összes attribútuma |
| Engedélyezve | AD DS Csatlakozás or-fiók | Faobjektumok törlése/törlése | Az objektumtípuscsoport és alobjektumok összes attribútuma |
Az Exchange hibrid üzembe helyezésének engedélyei
Az AD DS Csatlakozás or-fiók engedélyeinek beállításához az Exchange Hibrid telepítés használatakor futtassa a következőt:
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Vagy;
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Ez a parancsmag a következő engedélyeket állítja be:
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezve | AD DS Csatlakozás or-fiók | Az összes tulajdonság olvasása/írása | Leszármazott felhasználói objektumok |
| Engedélyezve | AD DS Csatlakozás or-fiók | Az összes tulajdonság olvasása/írása | Leszármazott InetOrgPerson-objektumok |
| Engedélyezve | AD DS Csatlakozás or-fiók | Az összes tulajdonság olvasása/írása | Leszármazottcsoport-objektumok |
| Engedélyezve | AD DS Csatlakozás or-fiók | Az összes tulajdonság olvasása/írása | Leszármazott névjegyobjektumai |
Az Exchange Mail nyilvános mappáinak engedélyei
Az AD DS Csatlakozás or-fiók engedélyeinek beállításához az Exchange Mail Nyilvános mappák funkció használatakor futtassa a következőt:
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Vagy;
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Ez a parancsmag a következő engedélyeket állítja be:
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezve | AD DS Csatlakozás or-fiók | Az összes tulajdonság beolvasása | Leszármazott publicFolder-objektumok |
Az AD DS Csatlakozás or-fiók engedélyeinek korlátozása
Ez a PowerShell-szkript szigorítja a paraméterként megadott AD Csatlakozás or-fiók engedélyeit. Az engedélyek szigorítása a következő lépésekkel jár:
Az öröklés letiltása a megadott objektumon
Távolítsa el az adott objektum összes ACL-ét, kivéve az Standard kiadás LF-hez tartozó ACL-eket, mivel az alapértelmezett engedélyeket érintetlenül szeretnénk tartani az Standard kiadás LF esetében.
Az -AD Csatlakozás orAccountDN paraméter az AD-fiók, amelynek engedélyeit meg kell szigorítani. Ez általában az AD DS Csatlakozás orban konfigurált MSOL_nnnnnnnnnnnn tartományi fiók (lásd: Az AD DS Csatlakozás or-fiók meghatározása). A -Credential paraméter szükséges annak a Rendszergazda istrator-fióknak a megadásához, amely rendelkezik a cél AD-objektum Active Directory-engedélyeinek korlátozásához szükséges jogosultságokkal (ennek a fióknak különböznie kell az AD Csatlakozás orAccountDN-fióktól). Ez általában a vállalati vagy tartományi Rendszergazda istrator.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Például:
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
Ez a parancsmag a következő engedélyeket állítja be:
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezve | RENDSZER | Teljes hozzáférés | Ez az objektum |
| Engedélyezve | Vállalati rendszergazdák | Teljes hozzáférés | Ez az objektum |
| Engedélyezve | Tartományi rendszergazdák | Teljes hozzáférés | Ez az objektum |
| Engedélyezve | Rendszergazdák | Teljes hozzáférés | Ez az objektum |
| Engedélyezve | Vállalati tartományvezérlők | Lista tartalma | Ez az objektum |
| Engedélyezve | Vállalati tartományvezérlők | Az összes tulajdonság beolvasása | Ez az objektum |
| Engedélyezve | Vállalati tartományvezérlők | Olvasási engedélyek | Ez az objektum |
| Engedélyezve | Hitelesített felhasználók | Lista tartalma | Ez az objektum |
| Engedélyezve | Hitelesített felhasználók | Az összes tulajdonság beolvasása | Ez az objektum |
| Engedélyezve | Hitelesített felhasználók | Olvasási engedélyek | Ez az objektum |