Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O novo módulo do PowerShell chamado ADSyncConfig.psm1 foi introduzido com o build 1.1.880.0 (lançado em agosto de 2018) que inclui uma coleção de cmdlets para ajudá-lo a configurar as permissões do Active Directory corretas para sua implantação do Microsoft Entra Connect.
Visão geral
Os seguintes cmdlets do Windows PowerShell podem ser usados para configurar as permissões da conta do Conector AD DS no Active Directory, para cada recurso que você selecionar para habilitar no Microsoft Entra Connect. Para evitar problemas, você deve preparar as permissões do Active Directory com antecedência sempre que quiser instalar o Microsoft Entra Connect usando uma conta de domínio personalizada para se conectar à sua floresta. O módulo ADSyncConfig também pode ser usado para configurar as permissões após a implantação do Microsoft Entra Connect.
Para a instalação do Microsoft Entra Connect Express, uma conta gerada automaticamente (MSOL_nnnnnnnnnn) é criada no Active Directory com toda a permissão necessária. Você não precisa usar este módulo ADSyncConfig, a menos que tenha bloqueado a herança de permissões em unidades organizacionais ou em objetos específicos do Active Directory que você deseja sincronizar com a ID do Microsoft Entra.
Resumo de permissões
A tabela a seguir fornece um resumo das permissões necessárias nos objetos do AD:
| Recurso | Permissões |
|---|---|
| recurso ms-DS-ConsistencyGuid | Permissões de leitura e gravação para o atributo ms-DS-ConsistencyGuid documentado em Conceitos de Design – Usar ms-DS-ConsistencyGuid como sourceAnchor. |
| Sincronização do hash da senha | |
| Implantação híbrida do Exchange | Permissões de leitura e gravação para os atributos documentados no Write-back híbrido do Exchange para usuários, grupos e contatos. |
| Pasta pública do Exchange Mail | Permissões de leitura para os atributos documentados na Pasta pública do Exchange Mail para pastas públicas. |
| Write-back da senha | Permissões de leitura e gravação para os atributos documentados em Introdução ao gerenciamento de senhas para usuários. |
| Write-back do dispositivo | Permissões de leitura e gravação para objetos de dispositivo e contêineres documentados em write-back de dispositivo. |
| Write-back do grupo | Ler, criar, atualizar e excluir objetos de grupo para grupos do Office 365 sincronizados. |
Usar o módulo do PowerShell ADSyncConfig
O módulo ADSyncConfig requer o Ferramentas de Administração de Servidor Remoto (RSAT) para o AD DS, pois ele depende do módulo do PowerShell do AD DS e ferramentas. Para instalar o RSAT para o AD DS, abra uma janela do Windows PowerShell com “Executar como administrador” e execute:
Install-WindowsFeature "RSAT-AD-Tools"
Observação
Você também pode copiar o arquivo C:\Programs Files\Microsoft Azure Active Directory Connect\AdSyncConfig\ADSyncConfig.psm1 em um controlador de domínio que já tenha o RSAT para AD DS instalado e usar esse módulo do PowerShell a partir dele. Lembre-se de que alguns cmdlets só podem ser executados no computador que está hospedando o Microsoft Entra Connect.
Para começar a usar o ADSyncConfig, você precisará carregar o módulo em uma janela do Windows PowerShell:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Para verificar todos os cmdlets incluídos neste módulo, você pode digitar:
Get-Command -Module AdSyncConfig
Cada cmdlet tem os mesmos parâmetros de entrada de conta do conector do AD DS e um comutador de AdminSDHolder. Para especificar sua conta do conector do AD DS, você pode fornecer o nome da conta e o domínio ou apenas a conta de nome diferenciado (DN),
Por exemplo:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
Ou;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Substitua <ADAccountName>, <ADDomainName> e <ADAccountDN> pelos valores adequados para seu ambiente.
Caso não deseje modificar as permissões no contêiner AdminSDHolder, use a opção -IncludeAdminSdHolders. Isso não é recomendado.
Por padrão, todos os cmdlets para definir permissões tentam definir permissões do AD DS na raiz de cada domínio na floresta, o que significa que o usuário que executa a sessão do PowerShell requer privilégios de administrador de domínio em cada domínio na floresta. Por causa desse requisito, é recomendável usar um administrador de empresa da raiz da floresta. Se sua implantação do Microsoft Entra Connect tiver vários Conectores do AD DS, ela será necessária para executar o mesmo cmdlet em cada floresta que tenha um conector do AD DS.
Você também pode definir permissões em um objeto específico de UO ou o AD DS usando o parâmetro -ADobjectDN seguido o DN do objeto de destino no qual você deseja definir permissões. Ao usar um ADobjectDN de destino, o cmdlet define permissões somente neste objeto e não na raiz do domínio ou no contêiner do AdminSDHolder. Esse parâmetro pode ser útil quando você tiver determinadas UOs ou objetos do AD DS que a herança de permissão tiver desabilitada (consulte Localizar objetos AD DS com a herança de permissão desabilitada)
Exceções a esses parâmetros comuns são o Set-ADSyncRestrictedPermissions cmdlet que é usado para definir as permissões na própria Conta do Conector do AD DS e o cmdlet Set-ADSyncPasswordHashSyncPermissions, pois as permissões necessárias para Sincronização de Hash de Senha são definidas apenas na raiz do domínio; portanto, esse cmdlet não inclui os parâmetros -ObjectDN ou -IncludeAdminSdHolders.
Determine sua conta do Conector AD DS
Se o Microsoft Entra Connect já estiver instalado e você quiser verificar qual é a conta do Conector do AD DS atualmente em uso pelo Microsoft Entra Connect, poderá executar o cmdlet:
Get-ADSyncADConnectorAccount
Localize os objetos do AD DS com a herança de permissão desabilitada
Caso deseje verificar se há algum objeto do AD DS com a herança de permissão desabilitada, você pode executar:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
Por padrão, esse cmdlet procura apenas UOs com herança desabilitada, mas você pode especificar outras classes de objeto do AD DS no -ObjectClass parâmetro ou usar '*' para todas as classes de objeto, da seguinte maneira:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Exibir permissões do AD DS de um objeto
Você pode usar o cmdlet a seguir para exibir a lista de permissões definidas atualmente em um objeto do Active Directory fornecendo seu DistinguishedName:
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
Configurar as permissões de Conta do AD DS Connector
Configurar permissões de somente leitura básicas
Para definir as permissões básicas de somente leitura na conta do Conector do AD DS quando não estiver usando recursos do Microsoft Entra Connect, execute:
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou;
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Este cmdlet define as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | Conta do Conector do AD DS | Leia todas as propriedades | Objetos de dispositivo descendentes |
| Permitir | Conta do Conector do AD DS | Leia todas as propriedades | Objetos descendentes de InetOrgPerson |
| Permitir | Conta do Conector do AD DS | Leia todas as propriedades | Objetos de computador descendentes |
| Permitir | Conta do Conector do AD DS | Leia todas as propriedades | Objetos descendentes do foreignSecurityPrincipal |
| Permitir | Conta do Conector do AD DS | Leia todas as propriedades | Objetos de grupo descendentes |
| Permitir | Conta do Conector do AD DS | Leia todas as propriedades | Objetos de usuário descendentes |
| Permitir | Conta do Conector do AD DS | Leia todas as propriedades | Objetos de contato descendentes |
| Permitir | Conta do Conector do AD DS | Replicar alterações do diretório | Apenas este objeto (raiz de domínio) |
Configurar permissões do MS-DS-Consistency-Guid
Para definir permissões para a conta do Conector do AD DS ao usar o atributo ms-Ds-Consistency-Guid como âncora de origem (também conhecido como a opção "Permitir que o Azure gerencie a âncora de origem para mim"), execute:
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou;
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Este cmdlet define as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | Conta do Conector do AD DS | Propriedade de leitura/gravação | Objetos de usuário descendentes |
Permissões para sincronização de hash de senha
Para definir permissões para a conta do conector do AD DS ao usar a sincronização de Hash de senha, execute:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
Ou;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
Este cmdlet define as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | Conta do Conector do AD DS | Replicar alterações do diretório | Apenas este objeto (raiz de domínio) |
| Permitir | Conta do Conector do AD DS | Replicar todas as alterações do diretório | Apenas este objeto (raiz de domínio) |
Permissões do Write-back da senha
Para definir as permissões na conta do Conector do AD DS ao usar o Write-back de senha, execute:
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou;
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Este cmdlet define as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | Conta do Conector do AD DS | Redefinir senha | Objetos de usuário descendentes |
| Permitir | Conta do Conector do AD DS | Gravar lockoutTime de propriedade | Objetos de usuário descendentes |
| Permitir | Conta do Conector do AD DS | Gravar pwdLastSet de propriedade | Objetos de usuário descendentes |
Permissões para Write-back de grupo
Para definir permissões para a conta do conector do AD DS ao usar a executar Grupo Writeback:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou;
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Este cmdlet define as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | Conta do Conector do AD DS | Leitura/gravação genérica | Todos os atributos do grupo do tipo de objeto e subobjetos |
| Permitir | Conta do Conector do AD DS | Criar/Excluir objeto filho | Todos os atributos do grupo do tipo de objeto e subobjetos |
| Permitir | Conta do Conector do AD DS | Excluir/Excluir objetos da árvore | Todos os atributos do grupo do tipo de objeto e subobjetos |
Permissões para Exchange híbrido
Para definir permissões para a conta do conector do AD DS ao usar a implantação híbrida do Exchange, execute:
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou;
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Este cmdlet define as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | Conta do Conector do AD DS | Leitura/gravação de todas as propriedades | Objetos de usuário descendentes |
| Permitir | Conta do Conector do AD DS | Leitura/gravação de todas as propriedades | Objetos descendentes de InetOrgPerson |
| Permitir | Conta do Conector do AD DS | Leitura/gravação de todas as propriedades | Objetos de grupo descendentes |
| Permitir | Conta do Conector do AD DS | Leitura/gravação de todas as propriedades | Objetos de contato descendentes |
Permissões para Pastas Públicas do Exchange Mail
Para definir permissões para a conta do conector do AD DS ao usar o recurso pastas públicas do Exchange Mail, execute:
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou;
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Este cmdlet define as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | Conta do Conector do AD DS | Leia todas as propriedades | Objetos PublicFolder descendentes |
Restringir as permissões de Conta do AD DS Connector
Esse script do PowerShell restringe as permissões para a AD Connector Account fornecida como parâmetro. Reforçar as permissões envolve as seguintes etapas:
Desabilite herança no objeto especificado
Remova todas as ACEs no objeto específico, exceto as ACEs específicas ao SELF, pois queremos manter as permissões padrão intactas quando se trata de para si mesmo.
O
-ADConnectorAccountDNparâmetro é a conta do AD cujas permissões precisam ser reforçadas. Normalmente, essa é a conta de domínio MSOL_nnnnnnnnnnnn configurada no conector do AD DS (veja Determine sua conta de conector AD DS). O-Credentialparâmetro é necessário para especificar a conta administrador que tem os privilégios necessários para restringir permissões do Active Directory no objeto AD de destino (essa conta deve ser diferente da conta ADConnectorAccountDN). Esse normalmente é o administrador Corporativo ou de Domínio.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Por exemplo:
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
Este cmdlet define as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | SISTEMA | Controle total | Este objeto |
| Permitir | Admins corporativos | Controle total | Este objeto |
| Permitir | Administradores do domínio | Controle total | Este objeto |
| Permitir | Administradores | Controle total | Este objeto |
| Permitir | Controladores de Domínio Corporativo | Listar Conteúdo | Este objeto |
| Permitir | Controladores de Domínio Corporativo | Leia todas as propriedades | Este objeto |
| Permitir | Controladores de Domínio Corporativo | Permissões de Leitura | Este objeto |
| Permitir | Usuários Autenticados | Listar Conteúdo | Este objeto |
| Permitir | Usuários Autenticados | Leia todas as propriedades | Este objeto |
| Permitir | Usuários Autenticados | Permissões de Leitura | Este objeto |