Microsoft Entra Połączenie: Konfigurowanie uprawnień konta usługi AD DS Połączenie or
Moduł programu PowerShell o nazwie ADSyncConfig.psm1 został wprowadzony z kompilacją 1.1.880.0 (wydaną w sierpniu 2018 r.), która zawiera kolekcję poleceń cmdlet ułatwiających skonfigurowanie odpowiednich uprawnień usługi Active Directory dla wdrożenia usługi Microsoft Entra Połączenie.
Omówienie
Następujące polecenia cmdlet programu PowerShell mogą służyć do konfigurowania uprawnień usługi Active Directory konta Połączenie or usług AD DS dla każdej funkcji wybranej do włączenia w usłudze Microsoft Entra Połączenie. Aby zapobiec wszelkim problemom, należy przygotować uprawnienia usługi Active Directory z wyprzedzeniem za każdym razem, gdy chcesz zainstalować usługę Microsoft Entra Połączenie przy użyciu niestandardowego konta domeny w celu nawiązania połączenia z lasem. Ten moduł ADSyncConfig może również służyć do konfigurowania uprawnień po wdrożeniu Połączenie firmy Microsoft.
W przypadku instalacji microsoft Entra Połączenie Express automatycznie wygenerowane konto (MSOL_nnnnnnnnnn) jest tworzone w usłudze Active Directory ze wszystkimi niezbędnymi uprawnieniami, więc nie ma potrzeby używania tego modułu ADSyncConfig, chyba że masz zablokowane dziedziczenie uprawnień dla jednostek organizacyjnych lub określonych obiektów usługi Active Directory, które chcesz zsynchronizować z identyfikatorem Microsoft Entra ID.
Podsumowanie uprawnień
Poniższa tabela zawiera podsumowanie uprawnień wymaganych w obiektach usługi AD:
| Cecha | Uprawnienia |
|---|---|
| Funkcja ms-DS-ConsistencyGuid | Uprawnienia do odczytu i zapisu atrybutu ms-DS-ConsistencyGuid opisane w temacie Design Concepts — Using ms-DS-ConsistencyGuid as sourceAnchor (Pojęcia dotyczące projektowania — używanie atrybutu ms-DS-ConsistencyGuid jako sourceAnchor). |
| Synchronizacja skrótów haseł | |
| Wdrożenie hybrydowe programu Exchange | Uprawnienia do odczytu i zapisu do atrybutów udokumentowanych w funkcji zapisywania zwrotnego hybrydowego programu Exchange dla użytkowników, grup i kontaktów. |
| Folder publiczny poczty programu Exchange | Uprawnienia do odczytu do atrybutów udokumentowanych w folderze publicznym poczty programu Exchange dla folderów publicznych. |
| Zapisywanie zwrotne haseł | Uprawnienia do odczytu i zapisu do atrybutów opisanych w artykule Wprowadzenie do zarządzania hasłami dla użytkowników. |
| Zapisywanie zwrotne urządzeń | Uprawnienia do odczytu i zapisu do obiektów urządzeń i kontenerów udokumentowanych w zapisie zwrotnym urządzeń. |
| Zapisywanie zwrotne grup | Odczytywanie, tworzenie, aktualizowanie i usuwanie obiektów grup dla zsynchronizowanych grup usługi Office 365. |
Korzystanie z modułu ADSyncConfig programu PowerShell
Moduł ADSyncConfig wymaga serwera zdalnego Administracja istration Tools (RSAT) dla usług AD DS, ponieważ zależy od modułu i narzędzi programu PowerShell usług AD DS. Aby zainstalować narzędzie RSAT dla usług AD DS, otwórz okno programu Windows PowerShell z poleceniem "Uruchom jako Administracja istrator" i wykonaj następujące polecenie:
Install-WindowsFeature RSAT-AD-Tools
Uwaga
Możesz również skopiować plik C:\Program Files\Microsoft Entra Połączenie\AdSyncConfig\ADSyncConfig.psm1 do kontrolera domeny, który ma już zainstalowane narzędzie RSAT dla usług AD DS i użyj tego modułu programu PowerShell z tego miejsca. Należy pamiętać, że niektóre polecenia cmdlet można uruchamiać tylko na komputerze hostujący aplikację Microsoft Entra Połączenie.
Aby rozpocząć korzystanie z polecenia ADSyncConfig, należy załadować moduł w oknie programu Windows PowerShell:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Aby sprawdzić wszystkie polecenia cmdlet zawarte w tym module, możesz wpisać:
Get-Command -Module AdSyncConfig
Każde polecenie cmdlet ma te same parametry, aby wprowadzić konto Połączenie or usług AD DS i przełącznik Administracja SDHolder. Aby określić konto usługi AD DS Połączenie or, możesz podać nazwę konta i domenę lub tylko nazwę wyróżniającą konta (DN),
Przykład.:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
lub;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Pamiętaj, aby zastąpić <ADAccountName>wartości , <ADDomainName> i <ADAccountDN> odpowiednimi wartościami dla danego środowiska.
Jeśli chcesz zmodyfikować uprawnienia w kontenerze Administracja SDHolder, użyj przełącznika -IncludeAdminSdHolders. Należy pamiętać, że nie jest to zalecane.
Domyślnie wszystkie ustawione polecenia cmdlet uprawnień będą próbowały ustawić uprawnienia usług AD DS w katalogu głównym każdej domeny w lesie, co oznacza, że użytkownik z uruchomioną sesją programu PowerShell wymaga uprawnień Administracja istratora domeny w każdej domenie w lesie. Ze względu na to wymaganie zaleca się użycie Administracja istratora Enterprise z poziomu katalogu głównego lasu. Jeśli wdrożenie usługi Microsoft Entra Połączenie ma wiele Połączenie or usług AD DS, będzie wymagane uruchomienie tego samego polecenia cmdlet w każdym lesie, który ma Połączenie or usług AD DS.
Można również ustawić uprawnienia dla określonego obiektu jednostki organizacyjnej lub usług AD DS przy użyciu parametru -ADobjectDN , a następnie dn obiektu docelowego, w którym chcesz ustawić uprawnienia. W przypadku korzystania z docelowej nazwy ADobjectDN polecenie cmdlet ustawi uprawnienia tylko dla tego obiektu, a nie w katalogu głównym domeny lub kontenerze Administracja SDHolder. Ten parametr może być przydatny, gdy niektóre jednostki organizacyjne lub obiekty usług AD DS, które mają wyłączone dziedziczenie uprawnień (zobacz Lokalizowanie obiektów usług AD DS z wyłączonym dziedziczeniem uprawnień)
Wyjątki od tych typowych parametrów to Set-ADSyncRestrictedPermissions polecenie cmdlet używane do ustawiania uprawnień na koncie usługi AD DS Połączenie or, a Set-ADSyncPasswordHashSyncPermissions polecenie cmdlet, ponieważ uprawnienia wymagane do synchronizacji skrótów haseł są ustawiane tylko w katalogu głównym domeny, dlatego to polecenie cmdlet nie zawiera -ObjectDN parametrów lub -IncludeAdminSdHolders .
Określanie konta usługi AD DS Połączenie or
Jeśli firma Microsoft Entra Połączenie jest już zainstalowana i chcesz sprawdzić, co to jest konto usługi AD DS Połączenie or używane obecnie przez firmę Microsoft Entra Połączenie, możesz wykonać polecenie cmdlet:
Get-ADSyncADConnectorAccount
Lokalizowanie obiektów usług AD DS z wyłączonym dziedziczeniem uprawnień
Jeśli chcesz sprawdzić, czy istnieje jakikolwiek obiekt usług AD DS z wyłączonym dziedziczeniem uprawnień, możesz uruchomić polecenie:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
Domyślnie to polecenie cmdlet będzie szukać tylko jednostek organizacyjnych z wyłączonym dziedziczeniem, ale można określić inne klasy obiektów usług AD DS w -ObjectClass parametrze lub użyć "*" dla wszystkich klas obiektów w następujący sposób:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Wyświetlanie uprawnień usług AD DS obiektu
Możesz użyć poniższego polecenia cmdlet, aby wyświetlić listę uprawnień aktualnie ustawionych w obiekcie usługi Active Directory, podając parametr DistinguishedName:
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
Azure AD Connect: konfigurowanie konta łącznika usługi AD DS
Konfigurowanie podstawowych uprawnień tylko do odczytu
Aby ustawić podstawowe uprawnienia tylko do odczytu dla konta Połączenie or usług AD DS, gdy nie używa żadnej funkcji microsoft Entra Połączenie, uruchom polecenie:
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Lub;
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Dostęp | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto Połączenie or usług AD DS | Odczytywanie wszystkich właściwości | Obiekty urządzenia podrzędnego |
| Zezwalaj | Konto Połączenie or usług AD DS | Odczytywanie wszystkich właściwości | Obiekty InetOrgPerson obiektów potomnych |
| Zezwalaj | Konto Połączenie or usług AD DS | Odczytywanie wszystkich właściwości | Obiekty komputera podrzędnego |
| Zezwalaj | Konto Połączenie or usług AD DS | Odczytywanie wszystkich właściwości | Obiekty podrzędne foreignSecurityPrincipal |
| Zezwalaj | Konto Połączenie or usług AD DS | Odczytywanie wszystkich właściwości | Obiekty grupy podrzędnej |
| Zezwalaj | Konto Połączenie or usług AD DS | Odczytywanie wszystkich właściwości | Obiekty użytkownika podrzędnego |
| Zezwalaj | Konto Połączenie or usług AD DS | Odczytywanie wszystkich właściwości | Obiekty kontaktów potomnych |
| Zezwalaj | Konto Połączenie or usług AD DS | Replikowanie zmian katalogu | Ten obiekt (tylko katalog główny domeny) |
Konfigurowanie uprawnień MS-DS-Consistency-Guid
Aby ustawić uprawnienia dla konta usługi AD DS Połączenie or podczas korzystania z atrybutu ms-Ds-Consistency-Guid jako kotwicy źródłowej (znanej również jako "Zezwalaj platformie Azure na zarządzanie kotwicą źródłową dla mnie"), uruchom polecenie:
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Lub;
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Dostęp | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto Połączenie or usług AD DS | Właściwość Odczyt/Zapis | Obiekty użytkownika podrzędnego |
Uprawnienia do synchronizacji skrótów haseł
Aby ustawić uprawnienia dla konta usługi AD DS Połączenie or podczas korzystania z synchronizacji skrótów haseł, uruchom polecenie:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
Lub;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Dostęp | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto Połączenie or usług AD DS | Replikowanie zmian katalogu | Ten obiekt (tylko katalog główny domeny) |
| Zezwalaj | Konto Połączenie or usług AD DS | Replikowanie wszystkich zmian katalogu | Ten obiekt (tylko katalog główny domeny) |
Uprawnienia do zapisywania zwrotnego haseł
Aby ustawić uprawnienia dla konta usługi AD DS Połączenie or podczas korzystania z zapisywania zwrotnego haseł, uruchom polecenie:
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Lub;
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Dostęp | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto Połączenie or usług AD DS | Resetuj hasło | Obiekty użytkownika podrzędnego |
| Zezwalaj | Konto Połączenie or usług AD DS | Zapis właściwości lockoutTime | Obiekty użytkownika podrzędnego |
| Zezwalaj | Konto Połączenie or usług AD DS | Write, właściwość pwdLastSet | Obiekty użytkownika podrzędnego |
Uprawnienia do zapisywania zwrotnego grup
Aby ustawić uprawnienia dla konta usługi AD DS Połączenie or podczas korzystania z zapisywania zwrotnego grup, uruchom polecenie:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Lub;
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Dostęp | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto Połączenie or usług AD DS | Ogólny odczyt/zapis | Wszystkie atrybuty grupy typów obiektów i podobiektów |
| Zezwalaj | Konto Połączenie or usług AD DS | Tworzenie/usuwanie obiektu podrzędnego | Wszystkie atrybuty grupy typów obiektów i podobiektów |
| Zezwalaj | Konto Połączenie or usług AD DS | Usuwanie/usuwanie obiektów drzewa | Wszystkie atrybuty grupy typów obiektów i podobiektów |
Uprawnienia do wdrożenia hybrydowego programu Exchange
Aby ustawić uprawnienia dla konta usługi AD DS Połączenie or podczas korzystania z wdrożenia hybrydowego programu Exchange, uruchom polecenie:
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Lub;
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Dostęp | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto Połączenie or usług AD DS | Odczytywanie/zapisywanie wszystkich właściwości | Obiekty użytkownika podrzędnego |
| Zezwalaj | Konto Połączenie or usług AD DS | Odczytywanie/zapisywanie wszystkich właściwości | Obiekty InetOrgPerson obiektów potomnych |
| Zezwalaj | Konto Połączenie or usług AD DS | Odczytywanie/zapisywanie wszystkich właściwości | Obiekty grupy podrzędnej |
| Zezwalaj | Konto Połączenie or usług AD DS | Odczytywanie/zapisywanie wszystkich właściwości | Obiekty kontaktów potomnych |
Uprawnienia do folderów publicznych poczty programu Exchange
Aby ustawić uprawnienia dla konta usługi AD DS Połączenie or podczas korzystania z funkcji Folderów publicznych poczty programu Exchange, uruchom polecenie:
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Lub;
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Dostęp | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto Połączenie or usług AD DS | Odczytywanie wszystkich właściwości | Obiekty PublicFolder obiektów podrzędnych |
Ograniczanie uprawnień na koncie Połączenie or usług AD DS
Ten skrypt programu PowerShell zaostrzy uprawnienia dla konta usługi AD Połączenie or podanego jako parametr. Zaostrzenie uprawnień obejmuje następujące kroki:
Wyłączanie dziedziczenia dla określonego obiektu
Usuń wszystkie acEs dla określonego obiektu, z wyjątkiem ACL specyficznych dla SIEBIE, ponieważ chcemy zachować domyślne uprawnienia nienaruszone, jeśli chodzi o SELF.
Parametr -AD Połączenie orAccountDN jest kontem usługi AD, którego uprawnienia należy zaostrzyć. Zazwyczaj jest to konto domeny MSOL_nnnnnnnnnnnn skonfigurowane w usłudze AD DS Połączenie or (zobacz Określanie konta usługi AD DS Połączenie or). Parametr -Credential jest niezbędny do określenia konta Administracja istrator, które ma uprawnienia niezbędne do ograniczenia uprawnień usługi Active Directory dla docelowego obiektu usługi AD (to konto musi być inne niż konto ad Połączenie orAccountDN). Jest to zazwyczaj Administracja istrator przedsiębiorstwa lub domeny.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Na przykład:
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Dostęp | Dotyczy |
|---|---|---|---|
| Zezwalaj | SYSTEM | Pełna kontrola | Ten obiekt |
| Zezwalaj | Enterprise Admins | Pełna kontrola | Ten obiekt |
| Zezwalaj | Domain Admins | Pełna kontrola | Ten obiekt |
| Zezwalaj | Administratorzy | Pełna kontrola | Ten obiekt |
| Zezwalaj | Kontrolery domeny przedsiębiorstwa | Zawartość listy | Ten obiekt |
| Zezwalaj | Kontrolery domeny przedsiębiorstwa | Odczytywanie wszystkich właściwości | Ten obiekt |
| Zezwalaj | Kontrolery domeny przedsiębiorstwa | Uprawnienia do odczytu | Ten obiekt |
| Zezwalaj | Uwierzytelnieni użytkownicy | Zawartość listy | Ten obiekt |
| Zezwalaj | Uwierzytelnieni użytkownicy | Odczytywanie wszystkich właściwości | Ten obiekt |
| Zezwalaj | Uwierzytelnieni użytkownicy | Uprawnienia do odczytu | Ten obiekt |