Azure AD Connect. Настройка разрешений учетной записи соединителя AD DS

Модуль PowerShell ADSyncConfig.psm1 был представлен в сборке 1.1.880.0 (выпущенной в августе 2018 года). Эта сборка включает в себя коллекцию командлетов, которые помогут вам настроить правильные разрешения Active Directory для развертывания соединителя Azure AD.

Обзор

Чтобы настроить разрешения Active Directory для учетной записи соединителя AD DS, можно использовать следующие командлеты PowerShell. Их можно использовать для каждой функции, какую вы включаете в Azure AD Connect. Чтобы избежать проблем, следует заранее подготовлять разрешения Active Directory каждый раз, когда вы хотите установить Azure AD Connect, используя личный домен для подключения к вашему лесу. Модуль ADSyncConfig также можно использовать для настройки разрешений после развертывания Azure AD Connect.

overview of ad ds account

Для экспресс установки Azure AD Connect в Active Directory автоматически создается учетная запись (с именем MSOL_nnnnnnnnnn) с необходимыми разрешениями, поэтому необходимости использовать модуль ADSyncConfig в этом случае нет. Кроме тех случаев, когда вы заблокировали наследование разрешений в подразделениях или в определенных объектах Active Directory, которые вы хотите синхронизировать с Azure AD.

Сводка разрешений

Следующая таблица предоставляет сводку разрешений, необходимых для объектов AD:

Компонент Разрешения
функция ms-DS-ConsistencyGuid Разрешения на чтение и запись для атрибута ms-DS-ConsistencyGuid см. в статье Azure AD Connect: принципы проектирования.
Синхронизация хэша паролей
  • Репликация изменений каталога — требуется только для основных разрешений только для чтения
  • Репликация всех изменений каталога
  • Гибридное развертывание Exchange Разрешения на чтение и запись для атрибутов, описанных в статье Гибридная обратная запись Exchange для пользователей, групп и контактов.
    Общедоступная папка почты Exchange Разрешения на чтение для атрибутов, описанных в статье Службы синхронизации Azure AD Connect: атрибуты, синхронизируемые с Azure Active Directory, для общедоступных папок.
    Компонент обратной записи паролей Разрешения на чтение и запись для атрибутов, описанных в статье Приступая к работе с компонентами управления паролями для пользователей.
    Обратная запись устройств Разрешения на чтение и запись для объектов и контейнеров устройства, описанные в обратной записи устройств.
    Обратная запись групп Чтение, создание, обновление и удаление объектов групп для синхронизированных групп Office 365.

    Использование модуля ADSyncConfig PowerShell

    Модулю ADSyncConfig необходимы средства удаленного администрирования сервера (RSAT) для AD DS, поскольку он зависит от модуля PowerShell для AD DS и средств. Чтобы установить средства удаленного администрирования сервера для AD DS, откройте окно Windows PowerShell в режиме "Запуск от имени администратора" и выполните:

    Install-WindowsFeature RSAT-AD-Tools 
    

    Configure

    Примечание

    Вы также можете скопировать файл C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\ADSyncConfig.psm1 в контроллер домена, в котором уже есть средства удаленного администрирования сервера для AD DS, и использовать модуль PowerShell оттуда. Имейте в виду, что некоторые командлеты можно запускать только на компьютере, на котором размещается Azure AD Connect.

    Чтобы приступить к использованию ADSyncConfig, необходимо загрузить модуль в окно Windows PowerShell:

    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
    

    Для проверки всех командлетов в этом модуле введите:

    Get-Command -Module AdSyncConfig  
    

    Check

    Каждый командлет имеет те же параметры для ввода учетной записи соединителя AD DS и коммутатора AdminSDHolder. Чтобы указать учетную запись соединителя AD DS, можно предоставить имя учетной записи и домен или только различающееся имя (DN) учетной записи.

    Например:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
    

    Или;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
    

    Обязательно замените <ADAccountName>, <ADDomainName> и <ADAccountDN> соответствующими значениями для вашей среды.

    Если вы хотите изменить разрешения для контейнера AdminSDHolder, используйте параметр -IncludeAdminSdHolders. Учтите, что это не рекомендуется.

    По умолчанию все командлеты заданных разрешений будут пытаться установить разрешения AD DS в корне каждого домена в лесу. Это значит, что пользователю, выполняющему сеанс PowerShell, требуются права администратора домена для каждого домена в лесу. Из-за этого требования рекомендуется использовать администратора предприятия из корня леса. Если в развертывании Azure AD Connect есть несколько соединителей AD DS, то потребуется выполнение одного и того же командлета в каждом лесу, имеющему соединитель AD DS.

    Можно также задать разрешения на определенном объекте подразделения или AD DS с помощью параметра -ADobjectDN, которому следует различающееся имя целевого объекта, где требуется задать разрешения. При использовании целевого объекта ADobjectDN, командлет установит права доступа только для этого объекта, а не для корневого домена или контейнера AdminSDHolder. Этот параметр может быть полезным, если у вас есть некоторые подразделения или объекты AD DS, в которых отключено наследование разрешений (см. в разделе "Размещение объектов AD DS с отключенным наследованием разрешений")

    Исключением к этим общим параметрам являются командлет Set-ADSyncRestrictedPermissions, который позволяет задать разрешения на самой учетной записи соединителя AD DS, и командлет Set-ADSyncPasswordHashSyncPermissions, поскольку разрешения, необходимые для синхронизации хэша паролей можно установить только в корневом домене, следовательно этот командлет не поддерживает параметр -ObjectDN или -SkipAdminSdHolders.

    Определите свою учетную запись соединителя AD DS

    Если Azure AD Connect уже установлено и вы хотите проверить, какая учетная запись соединителя AD DS используется на данное время, можете выполнить командлет:

    Get-ADSyncADConnectorAccount 
    

    Размещение объектов AD DS с отключенным наследованием разрешений

    Если вы хотите проверить наличие какого-либо объекта AD DS с отключенным наследованием разрешений, можете выполнить:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' 
    

    По умолчанию этот командлет будет искать только подразделения с отключенным наследованием, но вы можете указать в параметре -ObjectClass другие классы объектов AD DS или использовать "*" для всех классов объектов следующим образом:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass * 
    

    Просмотр разрешений AD DS объекта

    Вы можете использовать указанный ниже командлет, чтобы просмотреть список разрешений, установленных в объекте Active Directory в настоящее время, предоставив его DistinguishedName:

    Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>' 
    

    Настройка разрешений учетной записи соединителя AD DS

    Настройка основных разрешения только для чтения

    Чтобы задать учетной записи соединителя AD DS основные разрешения только для чтения, не используя компонентов Azure AD Connect, выполните:

    Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    или;

    Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Этот командлет задаст следующие разрешения:

    Тип Имя Доступ Применяется к
    Allow Учетная запись соединителя AD DS Чтение всех свойств Дочерние объекты устройств
    Allow Учетная запись соединителя AD DS Чтение всех свойств Дочерние объекты InetOrgPerson
    Allow Учетная запись соединителя AD DS Чтение всех свойств Дочерние объекты компьютера
    Allow Учетная запись соединителя AD DS Чтение всех свойств Дочерние объекты foreignSecurityPrincipal
    Allow Учетная запись соединителя AD DS Чтение всех свойств Дочерние объекты группы
    Allow Учетная запись соединителя AD DS Чтение всех свойств Дочерние объекты пользователя
    Allow Учетная запись соединителя AD DS Чтение всех свойств Дочерние объекты контакта
    Allow Учетная запись соединителя AD DS Репликация изменений каталога Только в этом объекте (корневой домен)

    Настройка разрешений MS-DS-Consistency-Guid

    Чтобы установить разрешения для учетной записи соединителя AD DS при использовании атрибута ms-Ds-Consistency-Guid в качестве привязки к источнику (параметр "Позволить Azure управлять привязкой к источнику от моего имени"), запустите:

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    или;

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Этот командлет задаст следующие разрешения:

    Тип Имя Доступ Применяется к
    Allow Учетная запись соединителя AD DS Свойство чтения/записи Дочерние объекты пользователя

    Разрешения для синхронизации хэшей пароля

    Чтобы задать разрешения для учетной записи соединителя AD DS при использовании синхронизации хэша паролей, запустите:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>] 
    

    или;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>] 
    

    Этот командлет задаст следующие разрешения:

    Тип Имя Доступ Применяется к
    Allow Учетная запись соединителя AD DS Репликация изменений каталога Только в этом объекте (корневой домен)
    Allow Учетная запись соединителя AD DS Репликация всех изменений каталога Только в этом объекте (корневой домен)

    Разрешения для компонента обратной записи паролей

    Чтобы задать разрешения для учетной записи соединителя AD DS при использовании компонента обратной записи паролей, запустите:

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    или;

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Этот командлет задаст следующие разрешения:

    Тип Имя Доступ Применяется к
    Allow Учетная запись соединителя AD DS Сброс пароля Дочерние объекты пользователя
    Allow Учетная запись соединителя AD DS Запись свойства lockoutTime Дочерние объекты пользователя
    Allow Учетная запись соединителя AD DS Запись свойства pwdLastSet Дочерние объекты пользователя

    Разрешения для обратной записи групп

    Чтобы задать разрешения для учетной записи соединителя AD DS при использовании записи групп, запустите:

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    или;

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
    

    Этот командлет задаст следующие разрешения:

    Тип Имя Доступ Применяется к
    Allow Учетная запись соединителя AD DS Универсальное чтение/запись Все атрибуты группы типов объектов и дочерних объектов
    Allow Учетная запись соединителя AD DS Создать/удалить дочерний объект Все атрибуты группы типов объектов и дочерних объектов
    Allow Учетная запись соединителя AD DS Удалить объекты дерева Все атрибуты группы типов объектов и дочерних объектов

    Разрешения для гибридного развертывания Exchange

    Чтобы задать разрешения для учетной записи соединителя AD DS при использовании гибридного развертывания Exchange, запустите:

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    или;

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Этот командлет задаст следующие разрешения:

    Тип Имя Доступ Применяется к
    Allow Учетная запись соединителя AD DS Чтение/запись всех свойств Дочерние объекты пользователя
    Allow Учетная запись соединителя AD DS Чтение/запись всех свойств Дочерние объекты InetOrgPerson
    Allow Учетная запись соединителя AD DS Чтение/запись всех свойств Дочерние объекты группы
    Allow Учетная запись соединителя AD DS Чтение/запись всех свойств Дочерние объекты контакта

    Разрешения для общедоступных папок почты Exchange

    Чтобы задать разрешения для учетной записи соединителя AD DS при использовании общедоступных папок почты Exchange, запустите:

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    или;

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Этот командлет задаст следующие разрешения:

    Тип Имя Доступ Применяется к
    Allow Учетная запись соединителя AD DS Чтение всех свойств Дочерние объекты PublicFolder

    Ограничение разрешений учетной записи соединителя AD DS

    Этот сценарий PowerShell будет сужать разрешения для учетной записи соединителя AD, если он предоставлен в качестве параметра. Сужение разрешения включает следующие шаги:

    • Отключение наследования для указанного объекта.

    • Удаление всех элементов управления доступом в конкретном объекте, за исключением элементов управления доступом, характерных для самого объекта, поскольку при работе с самим объектом нам нужно сохранить разрешения по умолчанию без изменений.

      Параметр -ADConnectorAccountDN — это учетная запись AD, для которой нужно ограничить разрешения. Обычно это учетная запись домена с именем MSOL_nnnnnnnnnnnn, настроенная в соединителе AD DS (см. в разделе "Определите свою учетную запись соединителя AD DS"). В параметре учетных данных необходимо указать учетную запись администратора, которая имеет необходимые правами доступа для ограничения разрешений Active Directory в целевом объекте AD. Обычно это администратор предприятия или домена.

    Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>] 
    

    Пример:

    $credential = Get-Credential 
    Set-ADSyncRestrictedPermissions -ADConnectorAccountDN'CN=ADConnectorAccount,CN=Users,DC=Contoso,DC=com' -Credential $credential  
    

    Этот командлет задаст следующие разрешения:

    Тип Имя Доступ Применяется к
    Allow SYSTEM Полный доступ этому объекту
    Allow Администраторы предприятия Полный доступ этому объекту
    Allow Администраторы домена Полный доступ этому объекту
    Allow Администраторы Полный доступ этому объекту
    Allow Контроллеры домена предприятия Вывод списка содержимого этому объекту
    Allow Контроллеры домена предприятия Чтение всех свойств этому объекту
    Allow Контроллеры домена предприятия Разрешения на чтение этому объекту
    Allow Прошедшие проверку пользователи Вывод списка содержимого этому объекту
    Allow Прошедшие проверку пользователи Чтение всех свойств этому объекту
    Allow Прошедшие проверку пользователи Разрешения на чтение этому объекту

    Next Steps