Microsoft Entra Verbinding maken: AD DS-Verbinding maken or-accountmachtigingen configureren
De Benoemde ADSyncConfig.psm1 PowerShell-module is geïntroduceerd met build 1.1.880.0 (uitgebracht in augustus 2018) met een verzameling cmdlets waarmee u de juiste Active Directory-machtigingen voor uw Microsoft Entra Verbinding maken-implementatie kunt configureren.
Overzicht
De volgende PowerShell-cmdlets kunnen worden gebruikt voor het instellen van Active Directory-machtigingen van het AD DS-Verbinding maken or-account, voor elke functie die u selecteert om in te schakelen in Microsoft Entra Verbinding maken. Als u problemen wilt voorkomen, moet u Active Directory-machtigingen vooraf voorbereiden wanneer u Microsoft Entra Verbinding maken wilt installeren met behulp van een aangepast domeinaccount om verbinding te maken met uw forest. Deze ADSyncConfig-module kan ook worden gebruikt om machtigingen te configureren nadat Microsoft Entra Verbinding maken is geïmplementeerd.
Voor de installatie van Microsoft Entra Verbinding maken Express wordt een automatisch gegenereerd account (MSOL_nnnnnnnnnn) gemaakt in Active Directory met alle benodigde machtigingen, dus u hoeft deze ADSyncConfig-module niet te gebruiken, tenzij u de overname van machtigingen voor organisatie-eenheden of specifieke Active Directory-objecten hebt geblokkeerd die u wilt synchroniseren met Microsoft Entra-id.
Overzicht van bevoegdheden
De volgende tabel bevat een overzicht van de machtigingen die zijn vereist voor AD-objecten:
| Functie | Machtigingen |
|---|---|
| De functie ms-DS-ConsistencyGuid | Lees- en schrijfmachtigingen voor het kenmerk ms-DS-ConsistencyGuid dat wordt beschreven in Ontwerpconcepten - ms-DS-ConsistencyGuid gebruiken als sourceAnchor. |
| Hash-synchronisatie wachtwoord | |
| Hybride implementatie voor Exchange | Lees- en schrijfmachtigingen voor de kenmerken die worden beschreven in Hybride write-back van Exchange voor gebruikers, groepen en contactpersonen. |
| Openbare e-mailmap van Exchange | Leesmachtigingen voor de kenmerken die worden beschreven in Openbare e-mailmap van Exchange voor openbare mappen. |
| Wachtwoord terugschrijven | Lees- en schrijfmachtigingen voor de kenmerken die worden beschreven in Aan de slag met wachtwoordbeheer voor gebruikers. |
| Apparaat terugschrijven | Lees- en schrijfmachtigingen voor apparaatobjecten en -containers die worden beschreven in Write-back van apparaat. |
| Groep terugschrijven | Groepsobjecten lezen, maken, bijwerken en verwijderen voor gesynchroniseerde Office 365-groepen. |
De ADSyncConfig PowerShell-module gebruiken
De ADSyncConfig-module vereist de Remote Server Administration Tools (RSAT) voor AD DS, omdat deze afhankelijk is van de AD DS PowerShell-module en -hulpprogramma's. Als u RSAT voor AD DS wilt installeren, opent u een Windows PowerShell-venster met 'Uitvoeren als beheerder' en voert u het volgende uit:
Install-WindowsFeature RSAT-AD-Tools
Notitie
U kunt ook het bestand C:\Program Files\Microsoft Entra Verbinding maken\AdSyncConfig\ADSyncConfig.psm1 kopiëren naar een domeincontroller waarop RSAT voor AD DS al is geïnstalleerd en van daaruit deze PowerShell-module gebruiken. Houd er rekening mee dat sommige cmdlets alleen kunnen worden uitgevoerd op de computer die als host fungeert voor Microsoft Entra Verbinding maken.
Als u de ADSyncConfig wilt gaan gebruiken, moet u de module laden in een Windows PowerShell-venster:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Om alle cmdlets in deze module te controleren, kunt u het volgende typen:
Get-Command -Module AdSyncConfig
Elke cmdlet heeft dezelfde parameters om het AD DS Connector-account en een adminSDHolder-switch in te voeren. Om uw AD DS Connector-account op te geven, kunt u de accountnaam en het domein of alleen de DN (Distinguished Name) van het account opgeven.
Bijvoorbeeld.:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
Of;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Vergeet niet om <ADAccountName>, <ADDomainName> en <ADAccountDN> te vervangen door de correcte waarden voor uw omgeving.
Als u machtigingen voor de AdminSDHolder-container wilt wijzigen, gebruikt u de switch -IncludeAdminSdHolders. Houd er rekening mee dat dit niet wordt aanbevolen.
Standaard proberen alle cmdlets voor 'Machtigingen instellen' AD DS-machtigingen in te stellen voor de hoofdmap van elk domein in het forest, wat betekent dat de gebruiker die de PowerShell-sessie uitvoert domeinbeheerdersrechten nodig heeft voor elk domein in het forest. Vanwege deze vereiste is het raadzaam om een ondernemingsbeheerder uit de foresthoofdmap te gebruiken. Als uw Microsoft Entra-Verbinding maken-implementatie meerdere AD DS-Verbinding maken ors heeft, moet u dezelfde cmdlet uitvoeren op elk forest met een AD DS-Verbinding maken or.
U kunt ook machtigingen instellen voor een specifieke OE of specifiek AD DS-object met behulp van de parameter -ADobjectDN gevolgd door de DN van het doelobject waar u machtigingen wilt instellen. Wanneer u een doel-ADobjectDN gebruikt, stelt de cmdlet alleen machtigingen in voor dit object en niet voor de domeinhoofdmap of AdminSDHolder-container. Deze parameter kan handig zijn wanneer u bepaalde OE's of AD DS-objecten hebt waarvoor de overname van machtigingen is uitgeschakeld (zie 'AD DS-objecten zoeken waarvoor de overname van machtigingen is uitgeschakeld').
Uitzonderingen op deze algemene parameters zijn de Set-ADSyncRestrictedPermissions-cmdlet die wordt gebruikt om de machtigingen voor het AD DS Connector-account zelf in te stellen, en de Set-ADSyncPasswordHashSyncPermissions-cmdlet omdat de machtigingen die vereist zijn voor wachtwoord-hashsynchronisatie alleen worden ingesteld in de domeinhoofdmap, waardoor deze cmdlet de parameters -ObjectDN en -IncludeAdminSdHolders niet bevat.
Uw AD DS Connector-account bepalen
Als Microsoft Entra Verbinding maken al is geïnstalleerd en u wilt controleren wat het AD DS-Verbinding maken account is dat momenteel wordt gebruikt door Microsoft Entra Verbinding maken, kunt u de cmdlet uitvoeren:
Get-ADSyncADConnectorAccount
AD DS-objecten zoeken waarvoor de overname van machtigingen is uitgeschakeld
Als u wilt controleren of er een AD DS-object is waarvoor de overname van machtigingen is uitgeschakeld, kunt u het volgende uitvoeren:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
Deze cmdlet zoekt standaard alleen naar OE's met uitgeschakelde overname, maar u kunt andere AD DS-objectklassen opgeven in de parameter -ObjectClass of '*' gebruiken voor alle objectklassen, en wel als volgt:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
AD DS-machtigingen van een object bekijken
U kunt de onderstaande cmdlet gebruiken om de lijst met machtigingen te bekijken die momenteel zijn ingesteld voor een Active Directory-object, door de DistinguishedName op te geven:
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
De machtigingen van een AD DS Connector-account configureren
Eenvoudige alleen-lezen machtigingen configureren
Als u basismachtigingen voor het AD DS-Verbinding maken or-account wilt instellen wanneer u geen Microsoft Entra-Verbinding maken-functie gebruikt, voert u het volgende uit:
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
of;
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Met deze cmdlet worden de volgende machtigingen ingesteld:
| Type | Naam | Access | Van toepassing op |
|---|---|---|---|
| Toestaan | AD DS Connector-account | Alle eigenschappen lezen | Onderliggende apparaatobjecten |
| Toestaan | AD DS Connector-account | Alle eigenschappen lezen | Onderliggende InetOrgPerson-objecten |
| Toestaan | AD DS Connector-account | Alle eigenschappen lezen | Onderliggende computerobjecten |
| Toestaan | AD DS Connector-account | Alle eigenschappen lezen | Onderliggende foreignSecurityPrincipal-objecten |
| Toestaan | AD DS Connector-account | Alle eigenschappen lezen | Onderliggende groepsobjecten |
| Toestaan | AD DS Connector-account | Alle eigenschappen lezen | Onderliggende gebruikersobjecten |
| Toestaan | AD DS Connector-account | Alle eigenschappen lezen | Onderliggende contactpersoonobjecten |
| Toestaan | AD DS Connector-account | Directorywijzigingen repliceren | Alleen dit object (domeinhoofdmap) |
MS-DS-Consistency-Guid-machtigingen configureren
Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u het kenmerk ms-Ds-Consistency-Guid als bronanker gebruikt (ook wel bekend als de optie 'Azure het bronanker voor mij laten beheren'), voert u het volgende uit:
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
of;
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Met deze cmdlet worden de volgende machtigingen ingesteld:
| Type | Naam | Access | Van toepassing op |
|---|---|---|---|
| Toestaan | AD DS Connector-account | Eigenschap Lezen/Schrijven | Onderliggende gebruikersobjecten |
Machtigingen voor 'Wachtwoord-hashsynchronisatie'
Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u 'Wachtwoord-hashsynchronisatie' gebruikt, voert u het volgende uit:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
of;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
Met deze cmdlet worden de volgende machtigingen ingesteld:
| Type | Naam | Access | Van toepassing op |
|---|---|---|---|
| Toestaan | AD DS Connector-account | Directorywijzigingen repliceren | Alleen dit object (domeinhoofdmap) |
| Toestaan | AD DS Connector-account | Alle directorywijzigingen repliceren | Alleen dit object (domeinhoofdmap) |
Machtigingen voor 'Write-back van wachtwoord'
Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u 'Write-back van wachtwoord' gebruikt, voert u het volgende uit:
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
of;
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Met deze cmdlet worden de volgende machtigingen ingesteld:
| Type | Naam | Access | Van toepassing op |
|---|---|---|---|
| Toestaan | AD DS Connector-account | Wachtwoord opnieuw instellen | Onderliggende gebruikersobjecten |
| Toestaan | AD DS Connector-account | lockoutTime van eigenschap Schrijven | Onderliggende gebruikersobjecten |
| Toestaan | AD DS Connector-account | pwdLastSet van eigenschap Schrijven | Onderliggende gebruikersobjecten |
Machtigingen voor 'Write-back van groep'
Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u 'Write-back van groep' gebruikt, voert u het volgende uit:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
of;
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Met deze cmdlet worden de volgende machtigingen ingesteld:
| Type | Naam | Access | Van toepassing op |
|---|---|---|---|
| Toestaan | AD DS Connector-account | Algemeen Lezen/Schrijven | Alle kenmerken van objecttypegroep en subobjecten |
| Toestaan | AD DS Connector-account | Onderliggend object maken/verwijderen | Alle kenmerken van objecttypegroep en subobjecten |
| Toestaan | AD DS Connector-account | Structuurobjecten maken/verwijderen | Alle kenmerken van objecttypegroep en subobjecten |
Machtigingen voor 'Hybride implementatie voor Exchange'
Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u 'Hybride implementatie voor Exchange' gebruikt, voert u het volgende uit:
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
of;
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Met deze cmdlet worden de volgende machtigingen ingesteld:
| Type | Naam | Access | Van toepassing op |
|---|---|---|---|
| Toestaan | AD DS Connector-account | Alle eigenschappen lezen/schrijven | Onderliggende gebruikersobjecten |
| Toestaan | AD DS Connector-account | Alle eigenschappen lezen/schrijven | Onderliggende InetOrgPerson-objecten |
| Toestaan | AD DS Connector-account | Alle eigenschappen lezen/schrijven | Onderliggende groepsobjecten |
| Toestaan | AD DS Connector-account | Alle eigenschappen lezen/schrijven | Onderliggende contactpersoonobjecten |
Machtigingen voor 'Openbare e-mailmappen van Exchange'
Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u 'Openbare e-mailmappen van Exchange' gebruikt, voert u het volgende uit:
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
of;
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Met deze cmdlet worden de volgende machtigingen ingesteld:
| Type | Naam | Access | Van toepassing op |
|---|---|---|---|
| Toestaan | AD DS Connector-account | Alle eigenschappen lezen | Onderliggende PublicFolder-objecten |
Machtigingen voor het AD DS Connector-account beperken
Met dit PowerShell-script worden de machtigingen voor het AD Connector-account aangescherpt dat wordt opgegeven als parameter. Het aanscherpen van machtigingen omvat de volgende stappen:
Overname uitschakelen voor het opgegeven object
Verwijder alle ACE's voor het specifieke object, behalve ACE's die specifiek zijn voor SELF omdat we de standaardmachtigingen intact willen houden als het gaat om SELF.
De parameter -ADConnectorAccountDN is het AD-account waarvan de machtigingen moeten worden aangescherpt. Dit is doorgaans het domeinaccount MSOL_nnnnnnnnnnnn dat is geconfigureerd in de AD DS-connector (zie 'Uw AD DS Connector-account bepalen'). De parameter -Credential is nodig om het Beheer istrator-account op te geven met de benodigde bevoegdheden om Active Directory-machtigingen voor het doel-AD-object te beperken (dit account moet afwijken van het AD Verbinding maken orAccountDN-account). Dit is doorgaans de ondernemings- of domeinbeheerder.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Bijvoorbeeld:
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
Met deze cmdlet worden de volgende machtigingen ingesteld:
| Type | Naam | Access | Van toepassing op |
|---|---|---|---|
| Toestaan | SYSTEEM | Volledig beheer | Dit object |
| Toestaan | Enterprise Admins | Volledig beheer | Dit object |
| Toestaan | Domain Admins | Volledig beheer | Dit object |
| Toestaan | Beheerders | Volledig beheer | Dit object |
| Toestaan | Ondernemingsdomeincontrollers | Inhoud weergeven | Dit object |
| Toestaan | Ondernemingsdomeincontrollers | Alle eigenschappen lezen | Dit object |
| Toestaan | Ondernemingsdomeincontrollers | Machtigingen lezen | Dit object |
| Toestaan | Geverifieerde gebruikers | Inhoud weergeven | Dit object |
| Toestaan | Geverifieerde gebruikers | Alle eigenschappen lezen | Dit object |
| Toestaan | Geverifieerde gebruikers | Machtigingen lezen | Dit object |