Azure AD Connect: de machtigingen van een AD DS Connector-account configureren

De PowerShell-module met de naam ADSyncConfig.psm1 is geïntroduceerd met build 1.1.880.0 (uitgebracht in augustus 2018) met een verzameling cmdlets waarmee u de juiste Active Directory-machtigingen voor uw Azure AD Connect-implementatie kunt configureren.

Overzicht

De volgende PowerShell-cmdlets kunnen worden gebruikt voor het instellen van Active Directory-machtigingen van het AD DS Connector-account, voor elke functie die u selecteert om in te schakelen in Azure AD Connect. Om problemen te voorkomen, moet u Active Directory-machtigingen van tevoren voorbereiden telkens wanneer u Azure AD Connect wilt installeren met behulp van een aangepast domeinaccount om verbinding te maken met uw forest. Deze ADSyncConfig-module kan ook worden gebruikt om machtigingen te configureren nadat Azure AD Connect is geïmplementeerd.

overzicht van ad ds-account

Voor Azure AD Connect Express-installatie wordt er een automatisch gegenereerd account (MSOL_nnnnnnnnnn) gemaakt in Active Directory met alle benodigde machtigingen, zodat u deze ADSyncConfig-module niet hoeft te gebruiken, tenzij u de overname van machtigingen voor organisatie-eenheden of specifieke Active Directory-objecten hebt geblokkeerd die u wilt synchroniseren met Azure AD.

Overzicht van bevoegdheden

De volgende tabel bevat een overzicht van de machtigingen die zijn vereist voor AD-objecten:

Functie Machtigingen
De functie ms-DS-ConsistencyGuid Lees- en schrijfmachtigingen voor het kenmerk ms-DS-ConsistencyGuid dat wordt beschreven in Ontwerpconcepten - ms-DS-ConsistencyGuid gebruiken als sourceAnchor.
Wachtwoord-hashsynchronisatie
  • Directorywijzigingen repliceren - vereist voor eenvoudige alleen-lezen machtigingen
  • Alle directorywijzigingen repliceren
  • Hybride implementatie voor Exchange Lees- en schrijfmachtigingen voor de kenmerken die worden beschreven in Hybride write-back van Exchange voor gebruikers, groepen en contactpersonen.
    Openbare e-mailmap van Exchange Leesmachtigingen voor de kenmerken die worden beschreven in Openbare e-mailmap van Exchange voor openbare mappen.
    Wachtwoord terugschrijven Lees- en schrijfmachtigingen voor de kenmerken die worden beschreven in Aan de slag met wachtwoordbeheer voor gebruikers.
    Apparaat terugschrijven Lees- en schrijfmachtigingen voor apparaatobjecten en -containers die worden beschreven in Write-back van apparaat.
    Groep terugschrijven Groepsobjecten lezen, maken, bijwerken en verwijderen voor gesynchroniseerde Office 365-groepen.

    De ADSyncConfig PowerShell-module gebruiken

    De ADSyncConfig-module vereist de Remote Server Administration Tools (RSAT) voor AD DS, omdat deze afhankelijk is van de AD DS PowerShell-module en -hulpprogramma's. Als u RSAT voor AD DS wilt installeren, opent u een Windows PowerShell-venster met 'Uitvoeren als beheerder' en voert u het volgende uit:

    Install-WindowsFeature RSAT-AD-Tools 
    

    Configureren

    Notitie

    U kunt ook het bestand C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\ADSyncConfig.psm1 kopiëren naar een domeincontroller waarop RSAT voor AD DS al is geïnstalleerd en deze PowerShell-module van daaruit gebruiken. Houd er rekening mee dat sommige cmdlets alleen kunnen worden uitgevoerd op de computer waarop Azure AD Connect wordt gehost.

    Als u de ADSyncConfig wilt gaan gebruiken, moet u de module laden in een Windows PowerShell-venster:

    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
    

    Om alle cmdlets in deze module te controleren, kunt u het volgende typen:

    Get-Command -Module AdSyncConfig  
    

    Controleren

    Elke cmdlet heeft dezelfde parameters om het AD DS Connector-account en een adminSDHolder-switch in te voeren. Om uw AD DS Connector-account op te geven, kunt u de accountnaam en het domein of alleen de DN (Distinguished Name) van het account opgeven.

    Bijvoorbeeld:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
    

    Of;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
    

    Vergeet niet om <ADAccountName>, <ADDomainName> en <ADAccountDN> te vervangen door de correcte waarden voor uw omgeving.

    Als u machtigingen voor de AdminSDHolder-container wilt wijzigen, gebruikt u de switch -IncludeAdminSdHolders. Houd er rekening mee dat dit niet wordt aanbevolen.

    Standaard proberen alle cmdlets voor 'Machtigingen instellen' AD DS-machtigingen in te stellen voor de hoofdmap van elk domein in het forest, wat betekent dat de gebruiker die de PowerShell-sessie uitvoert domeinbeheerdersrechten nodig heeft voor elk domein in het forest. Vanwege deze vereiste is het raadzaam om een ondernemingsbeheerder uit de foresthoofdmap te gebruiken. Als uw Azure AD Connect-implementatie meerdere AD DS-connectors heeft, moet u dezelfde cmdlet uitvoeren op elk forest dat een AD DS-connector heeft.

    U kunt ook machtigingen instellen voor een specifieke OE of specifiek AD DS-object met behulp van de parameter -ADobjectDN gevolgd door de DN van het doelobject waar u machtigingen wilt instellen. Wanneer u een doel-ADobjectDN gebruikt, stelt de cmdlet alleen machtigingen in voor dit object en niet voor de domeinhoofdmap of AdminSDHolder-container. Deze parameter kan handig zijn wanneer u bepaalde OE's of AD DS-objecten hebt waarvoor de overname van machtigingen is uitgeschakeld (zie 'AD DS-objecten zoeken waarvoor de overname van machtigingen is uitgeschakeld').

    Uitzonderingen op deze algemene parameters zijn de Set-ADSyncRestrictedPermissions-cmdlet die wordt gebruikt om de machtigingen voor het AD DS Connector-account zelf in te stellen, en de Set-ADSyncPasswordHashSyncPermissions-cmdlet omdat de machtigingen die vereist zijn voor wachtwoord-hashsynchronisatie alleen worden ingesteld in de domeinhoofdmap, waardoor deze cmdlet de parameters -ObjectDN en -IncludeAdminSdHolders niet bevat.

    Uw AD DS Connector-account bepalen

    Als Azure AD Connect al is geïnstalleerd en u wilt controleren wat het AD DS Connector-account is dat momenteel wordt gebruikt door Azure AD Connect, kunt u deze cmdlet uitvoeren:

    Get-ADSyncADConnectorAccount 
    

    AD DS-objecten zoeken waarvoor de overname van machtigingen is uitgeschakeld

    Als u wilt controleren of er een AD DS-object is waarvoor de overname van machtigingen is uitgeschakeld, kunt u het volgende uitvoeren:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' 
    

    Deze cmdlet zoekt standaard alleen naar OE's met uitgeschakelde overname, maar u kunt andere AD DS-objectklassen opgeven in de parameter -ObjectClass of '*' gebruiken voor alle objectklassen, en wel als volgt:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass * 
    

    AD DS-machtigingen van een object bekijken

    U kunt de onderstaande cmdlet gebruiken om de lijst met machtigingen te bekijken die momenteel zijn ingesteld voor een Active Directory-object, door de DistinguishedName op te geven:

    Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>' 
    

    De machtigingen van een AD DS Connector-account configureren

    Eenvoudige alleen-lezen machtigingen configureren

    Als u eenvoudige alleen-lezen machtigingen wilt instellen voor het AD DS Connector-account wanneer u geen Azure AD Connect-functie gebruikt, voert u het volgende uit:

    Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    of;

    Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan AD DS Connector-account Alle eigenschappen lezen Onderliggende apparaatobjecten
    Toestaan AD DS Connector-account Alle eigenschappen lezen Onderliggende InetOrgPerson-objecten
    Toestaan AD DS Connector-account Alle eigenschappen lezen Onderliggende computerobjecten
    Toestaan AD DS Connector-account Alle eigenschappen lezen Onderliggende foreignSecurityPrincipal-objecten
    Toestaan AD DS Connector-account Alle eigenschappen lezen Onderliggende groepsobjecten
    Toestaan AD DS Connector-account Alle eigenschappen lezen Onderliggende gebruikersobjecten
    Toestaan AD DS Connector-account Alle eigenschappen lezen Onderliggende contactpersoonobjecten
    Toestaan AD DS Connector-account Directorywijzigingen repliceren Alleen dit object (domeinhoofdmap)

    MS-DS-Consistency-Guid-machtigingen configureren

    Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u het kenmerk ms-Ds-Consistency-Guid als bronanker gebruikt (ook wel bekend als de optie 'Azure het bronanker voor mij laten beheren'), voert u het volgende uit:

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    of;

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan AD DS Connector-account Eigenschap Lezen/Schrijven Onderliggende gebruikersobjecten

    Machtigingen voor 'Wachtwoord-hashsynchronisatie'

    Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u 'Wachtwoord-hashsynchronisatie' gebruikt, voert u het volgende uit:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>] 
    

    of;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>] 
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan AD DS Connector-account Directorywijzigingen repliceren Alleen dit object (domeinhoofdmap)
    Toestaan AD DS Connector-account Alle directorywijzigingen repliceren Alleen dit object (domeinhoofdmap)

    Machtigingen voor 'Write-back van wachtwoord'

    Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u 'Write-back van wachtwoord' gebruikt, voert u het volgende uit:

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    of;

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan AD DS Connector-account Wachtwoord opnieuw instellen Onderliggende gebruikersobjecten
    Toestaan AD DS Connector-account lockoutTime van eigenschap Schrijven Onderliggende gebruikersobjecten
    Toestaan AD DS Connector-account pwdLastSet van eigenschap Schrijven Onderliggende gebruikersobjecten

    Machtigingen voor 'Write-back van groep'

    Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u 'Write-back van groep' gebruikt, voert u het volgende uit:

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    of;

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan AD DS Connector-account Algemeen Lezen/Schrijven Alle kenmerken van objecttypegroep en subobjecten
    Toestaan AD DS Connector-account Onderliggend object maken/verwijderen Alle kenmerken van objecttypegroep en subobjecten
    Toestaan AD DS Connector-account Structuurobjecten maken/verwijderen Alle kenmerken van objecttypegroep en subobjecten

    Machtigingen voor 'Hybride implementatie voor Exchange'

    Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u 'Hybride implementatie voor Exchange' gebruikt, voert u het volgende uit:

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    of;

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan AD DS Connector-account Alle eigenschappen lezen/schrijven Onderliggende gebruikersobjecten
    Toestaan AD DS Connector-account Alle eigenschappen lezen/schrijven Onderliggende InetOrgPerson-objecten
    Toestaan AD DS Connector-account Alle eigenschappen lezen/schrijven Onderliggende groepsobjecten
    Toestaan AD DS Connector-account Alle eigenschappen lezen/schrijven Onderliggende contactpersoonobjecten

    Machtigingen voor 'Openbare e-mailmappen van Exchange'

    Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u 'Openbare e-mailmappen van Exchange' gebruikt, voert u het volgende uit:

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    of;

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan AD DS Connector-account Alle eigenschappen lezen Onderliggende PublicFolder-objecten

    Machtigingen voor het AD DS Connector-account beperken

    Met dit PowerShell-script worden de machtigingen voor het AD Connector-account aangescherpt dat wordt opgegeven als parameter. Het aanscherpen van machtigingen omvat de volgende stappen:

    • Overname uitschakelen voor het opgegeven object

    • Verwijder alle ACE's voor het specifieke object, behalve ACE's die specifiek zijn voor SELF omdat we de standaardmachtigingen intact willen houden als het gaat om SELF.

      De parameter -ADConnectorAccountDN is het AD-account waarvan de machtigingen moeten worden aangescherpt. Dit is doorgaans het domeinaccount MSOL_nnnnnnnnnnnn dat is geconfigureerd in de AD DS-connector (zie 'Uw AD DS Connector-account bepalen'). De parameter -Credential is nodig om het beheerdersaccount op te geven dat de benodigde bevoegdheden heeft om Active Directory-machtigingen voor het doel-AD-object te beperken (dit account moet afwijken van het ADConnectorAccountDN-account). Dit is doorgaans de ondernemings- of domeinbeheerder.

    Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>] 
    

    Bijvoorbeeld:

    $credential = Get-Credential 
    Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential  
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan SYSTEEM Volledig beheer Dit object
    Toestaan Ondernemingsadministrators Volledig beheer Dit object
    Toestaan Domeinadministrators Volledig beheer Dit object
    Toestaan Beheerders Volledig beheer Dit object
    Toestaan Ondernemingsdomeincontrollers Inhoud weergeven Dit object
    Toestaan Ondernemingsdomeincontrollers Alle eigenschappen lezen Dit object
    Toestaan Ondernemingsdomeincontrollers Machtigingen lezen Dit object
    Toestaan Geverifieerde gebruikers Inhoud weergeven Dit object
    Toestaan Geverifieerde gebruikers Alle eigenschappen lezen Dit object
    Toestaan Geverifieerde gebruikers Machtigingen lezen Dit object

    Volgende stappen