Microsoft Entra Bağlan: AD DS Bağlan veya Hesap İzinlerini Yapılandırma
adlı ADSyncConfig.psm1
PowerShell modülü, Microsoft Entra Bağlan dağıtımınız için doğru Active Directory izinlerini yapılandırmanıza yardımcı olacak bir cmdlet koleksiyonu içeren 1.1.880.0 derlemesiyle (Ağustos 2018'de yayımlandı) tanıtıldı.
Genel bakış
Aşağıdaki PowerShell cmdlet'leri, Microsoft Entra Bağlan'da etkinleştirmeyi seçtiğiniz her özellik için AD DS Bağlan or hesabının Active Directory izinlerini ayarlamak için kullanılabilir. Herhangi bir sorunu önlemek için, ormanınıza bağlanmak için özel bir etki alanı hesabı kullanarak Microsoft Entra Bağlan yüklemek istediğinizde Active Directory izinlerini önceden hazırlamanız gerekir. Bu AD Eşitleme Config modülü, Microsoft Entra Bağlan dağıtıldıktan sonra izinleri yapılandırmak için de kullanılabilir.
Microsoft Entra Bağlan Express yüklemesi için, Active Directory'de gerekli tüm izinlerle otomatik olarak oluşturulan bir hesap (MSOL_nnnnnnnnnn) oluşturulur, dolayısıyla kuruluş birimlerinde veya Microsoft Entra ID ile eşitlemek istediğiniz belirli Active Directory nesnelerinde izin devralmayı engellemediğiniz sürece bu AD Eşitleme Config modülünü kullanmanız gerekmez.
İzin özeti
Aşağıdaki tabloda AD nesnelerinde gereken izinlerin bir özeti verilmektedir:
Özellik | İzinler |
---|---|
ms-DS-ConsistencyGuid özelliği | Tasarım Kavramları - sourceAnchor olarak ms-DS-ConsistencyGuid kullanma bölümünde belgelenen ms-DS-ConsistencyGuid özniteliği için Okuma ve Yazma izinleri. |
Parola karması eşitleme | |
Exchange karma dağıtımı | Kullanıcılar, gruplar ve kişiler için Exchange karma geri yazma bölümünde belgelenen öznitelikler için Okuma ve Yazma izinleri. |
Exchange Posta Ortak Klasörü | Ortak klasörler için Exchange Mail Ortak Klasörü’nde belgelenen özniteliklerini okuma izinleri. |
Parola geri yazma | Kullanıcılar için parola yönetimini kullanmaya başlama bölümünde belgelenen özniteliklere yönelik okuma ve yazma izinleri. |
Cihaz geri yazma | Cihaz geri yazmada belgelenen cihaz nesneleri ve kapsayıcıları için Okuma ve Yazma izinleri. |
Grup geri yazma | Eşitlenmiş Office 365 grupları için grup nesnelerini okuma, Oluşturma, Güncelleştirme ve Silme. |
AD Eşitleme Config PowerShell modülünü kullanma
AD Eşitleme Config modülü, AD DS PowerShell modülüne ve araçlarına bağlı olduğundan AD DS için Uzak Sunucu Yönetici istrasyon Araçları'nı (RSAT) gerektirir. AD DS için RSAT yüklemek için 'Farklı Çalıştır Yönetici istrator' ile bir Windows PowerShell penceresi açın ve şunu yürütür:
Install-WindowsFeature RSAT-AD-Tools
Not
Ayrıca C:\Program Files\Microsoft Entra Bağlan\AdSyncConfig\AD Eşitleme Config.psm1 dosyasını AD DS için RSAT'nin yüklü olduğu bir Etki Alanı Denetleyicisine kopyalayabilir ve buradan bu PowerShell modülünü kullanabilirsiniz. Bazı cmdlet'lerin yalnızca Microsoft Entra Bağlan barındıran bilgisayarda çalıştırılabildiğini unutmayın.
AD Eşitleme Config kullanmaya başlamak için modülü bir Windows PowerShell penceresine yüklemeniz gerekir:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Bu modülde yer alan tüm cmdlet'leri denetlemek için şunu yazabilirsiniz:
Get-Command -Module AdSyncConfig
Her cmdlet, AD DS Bağlan or Hesabını ve bir Yönetici SDHolder anahtarını giriş için aynı parametrelere sahiptir. AD DS Bağlan or Hesabınızı belirtmek için hesap adını ve etki alanını veya yalnızca hesabın Ayırt Edici Adı'nı (DN) sağlayabilirsiniz.
Örneğin.:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
Veya;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
ve değerlerini ortamınız için uygun değerlerle değiştirdiğinden <ADAccountName>
<ADDomainName>
<ADAccountDN>
emin olun.
Yönetici SDHolder kapsayıcısı üzerindeki izinleri değiştirmek istiyorsanız anahtarını -IncludeAdminSdHolders
kullanın. Bunun önerilmez.
Varsayılan olarak, tüm ayarlanan izinler cmdlet'leri Ormandaki her Etki Alanının kökünde AD DS izinlerini ayarlamaya çalışır; bu da PowerShell oturumunu çalıştıran kullanıcının Ormandaki her etki alanında Etki Alanı Yönetici istrator hakları gerektirdiği anlamına gelir. Bu gereksinim nedeniyle, Orman kökünden bir Enterprise Yönetici istrator kullanılması önerilir. Microsoft Entra Bağlan dağıtımınızda birden çok AD DS Bağlan or varsa, AD DS Bağlan or'ı olan her ormanda aynı cmdlet'i çalıştırmanız gerekir.
İzinleri ayarlamak istediğiniz hedef nesnenin DN'sinin ardından parametresini -ADobjectDN
kullanarak belirli bir OU veya AD DS nesnesi üzerinde de izin ayarlayabilirsiniz. Hedef ADobjectDN kullanırken, cmdlet etki alanı kökünde veya Yönetici SDHolder kapsayıcısı üzerinde değil, yalnızca bu nesne üzerinde izinleri ayarlar. İzin devralma devre dışı bırakılmış belirli OU'larınız veya AD DS nesneleriniz varsa bu parametre yararlı olabilir (bkz. İzin devralma devre dışı bırakılmış AD DS nesnelerini bulma)
Bu ortak parametrelerin Set-ADSyncRestrictedPermissions
özel durumları, AD DS Bağlan or Hesabı üzerindeki izinleri ayarlamak için kullanılan cmdlet'tir ve Set-ADSyncPasswordHashSyncPermissions
Parola Karması Eşitleme için gereken izinler yalnızca etki alanı kökünde ayarlandığından, bu cmdlet veya -IncludeAdminSdHolders
parametrelerini içermez-ObjectDN
.
AD DS Bağlan or Hesabınızı belirleme
Microsoft Entra Bağlan zaten yüklüyse ve Şu anda Microsoft Entra Bağlan tarafından kullanılmakta olan AD DS Bağlan or Hesabının ne olduğunu denetlemek istiyorsanız, cmdlet'ini yürütebilirsiniz:
Get-ADSyncADConnectorAccount
İzin devralma devre dışı bırakılmış AD DS nesnelerini bulma
İzin devralma devre dışı bırakılmış bir AD DS nesnesi olup olmadığını denetlemek istiyorsanız şunları çalıştırabilirsiniz:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
Varsayılan olarak, bu cmdlet yalnızca devre dışı devralma olan OU'ları arar, ancak parametrede -ObjectClass
diğer AD DS nesne sınıflarını belirtebilir veya tüm nesne sınıfları için aşağıdaki gibi '*' kullanabilirsiniz:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Nesnenin AD DS izinlerini görüntüleme
Aşağıdaki cmdlet'i kullanarak DistinguishedName değerini sağlayarak bir Active Directory nesnesinde ayarlanmış olan izinlerin listesini görüntüleyebilirsiniz:
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
AD DS Bağlayıcı Hesabı İzinlerini Yapılandırma
Temel Salt Okunur İzinleri Yapılandırma
Herhangi bir Microsoft Entra Bağlan özelliği kullanmadığınızda AD DS Bağlan or hesabının temel salt okunur izinlerini ayarlamak için şunu çalıştırın:
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Veya;
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Bu cmdlet aşağıdaki izinleri ayarlar:
Tür | Veri Akışı Adı | Access | Uygulandığı Öğe |
---|---|---|---|
İzin Ver | AD DS Bağlan or Hesabı | Tüm özellikleri okuma | Alt cihaz nesneleri |
İzin Ver | AD DS Bağlan or Hesabı | Tüm özellikleri okuma | Descendant InetOrgPerson nesneleri |
İzin Ver | AD DS Bağlan or Hesabı | Tüm özellikleri okuma | Alt Bilgisayar nesneleri |
İzin Ver | AD DS Bağlan or Hesabı | Tüm özellikleri okuma | Descendant foreignSecurityPrincipal nesneleri |
İzin Ver | AD DS Bağlan or Hesabı | Tüm özellikleri okuma | Alt Grup nesneleri |
İzin Ver | AD DS Bağlan or Hesabı | Tüm özellikleri okuma | Alt Kullanıcı nesneleri |
İzin Ver | AD DS Bağlan or Hesabı | Tüm özellikleri okuma | Alt Kişi nesneleri |
İzin Ver | AD DS Bağlan or Hesabı | Dizin Değişikliklerini Çoğaltma | Yalnızca bu nesne (Etki alanı kökü) |
MS-DS-Consistency-Guid İzinlerini Yapılandırma
Ms-Ds-Consistency-Guid özniteliğini kaynak bağlantı olarak kullanırken AD DS Bağlan or hesabının izinlerini ayarlamak için ("Azure'ın kaynak bağlantı noktasını benim için yönetmesine izin ver" seçeneği olarak da bilinir) komutunu çalıştırın:
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Veya;
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Bu cmdlet aşağıdaki izinleri ayarlar:
Tür | Veri Akışı Adı | Access | Uygulandığı Öğe |
---|---|---|---|
İzin Ver | AD DS Bağlan or Hesabı | Okuma/Yazma özelliği | Alt Kullanıcı nesneleri |
Parola Karması Eşitleme İzinleri
Parola Karması Eşitlemesi kullanırken AD DS Bağlan or hesabının izinlerini ayarlamak için şunu çalıştırın:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
Veya;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
Bu cmdlet aşağıdaki izinleri ayarlar:
Tür | Veri Akışı Adı | Access | Uygulandığı Öğe |
---|---|---|---|
İzin Ver | AD DS Bağlan or Hesabı | Dizin Değişikliklerini Çoğaltma | Yalnızca bu nesne (Etki alanı kökü) |
İzin Ver | AD DS Bağlan or Hesabı | Dizin DeğişiklikleriNin Tümünü Çoğaltma | Yalnızca bu nesne (Etki alanı kökü) |
Parola Geri Yazma İzinleri
Parola Geri Yazma kullanırken AD DS Bağlan or hesabının izinlerini ayarlamak için şunu çalıştırın:
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Veya;
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Bu cmdlet aşağıdaki izinleri ayarlar:
Tür | Veri Akışı Adı | Access | Uygulandığı Öğe |
---|---|---|---|
İzin Ver | AD DS Bağlan or Hesabı | Parola Sıfırla | Alt Kullanıcı nesneleri |
İzin Ver | AD DS Bağlan or Hesabı | Write özelliği lockoutTime | Alt Kullanıcı nesneleri |
İzin Ver | AD DS Bağlan or Hesabı | pwdLastSet yazma özelliği | Alt Kullanıcı nesneleri |
Grup Geri Yazma İzinleri
Grup Geri Yazma kullanırken AD DS Bağlan or hesabının izinlerini ayarlamak için şunu çalıştırın:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Veya;
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Bu cmdlet aşağıdaki izinleri ayarlar:
Tür | Veri Akışı Adı | Access | Uygulandığı Öğe |
---|---|---|---|
İzin Ver | AD DS Bağlan or Hesabı | Genel Okuma/Yazma | Nesne türü grubunun ve alt nesnelerin tüm öznitelikleri |
İzin Ver | AD DS Bağlan or Hesabı | Alt nesne oluşturma/silme | Nesne türü grubunun ve alt nesnelerin tüm öznitelikleri |
İzin Ver | AD DS Bağlan or Hesabı | Ağaç nesnelerini silme/silme | Nesne türü grubunun ve alt nesnelerin tüm öznitelikleri |
Exchange Karma Dağıtımı İzinleri
Exchange Karma dağıtımı kullanırken AD DS Bağlan or hesabının izinlerini ayarlamak için şunu çalıştırın:
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Veya;
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Bu cmdlet aşağıdaki izinleri ayarlar:
Tür | Veri Akışı Adı | Access | Uygulandığı Öğe |
---|---|---|---|
İzin Ver | AD DS Bağlan or Hesabı | Tüm özellikleri okuma/yazma | Alt Kullanıcı nesneleri |
İzin Ver | AD DS Bağlan or Hesabı | Tüm özellikleri okuma/yazma | Descendant InetOrgPerson nesneleri |
İzin Ver | AD DS Bağlan or Hesabı | Tüm özellikleri okuma/yazma | Alt Grup nesneleri |
İzin Ver | AD DS Bağlan or Hesabı | Tüm özellikleri okuma/yazma | Alt Kişi nesneleri |
Exchange Mail Ortak Klasörleri İzinleri
Exchange Mail Ortak Klasörleri özelliğini kullanırken AD DS Bağlan or hesabının izinlerini ayarlamak için şunu çalıştırın:
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Veya;
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Bu cmdlet aşağıdaki izinleri ayarlar:
Tür | Veri Akışı Adı | Access | Uygulandığı Öğe |
---|---|---|---|
İzin Ver | AD DS Bağlan or Hesabı | Tüm özellikleri okuma | Alt Ortak Klasör nesneleri |
AD DS Bağlan or Hesabında İzinleri Kısıtla
Bu PowerShell betiği, parametre olarak sağlanan AD Bağlan or Hesabı için izinleri sıkılaştırır. İzinlerin sıkılaştırılması aşağıdaki adımları içerir:
Belirtilen nesnede devralmayı devre dışı bırakma
SELF söz konusu olduğunda varsayılan izinleri olduğu gibi tutmak istediğimiz için SELF'ye özgü ACL'ler dışında, belirli nesnedeki tüm ACL'leri kaldırın.
-AD Bağlan orAccountDN parametresi, izinlerinin sıkılaştırılması gereken AD hesabıdır. Bu genellikle AD DS Bağlan or'da yapılandırılan MSOL_nnnnnnnnnnnn etki alanı hesabıdır (bkz. AD DS Bağlan or Hesabınızı belirleme). Hedef AD nesnesinde Active Directory izinlerini kısıtlamak için gerekli ayrıcalıklara sahip Yönetici istrator hesabını belirtmek için -Credential parametresi gereklidir (bu hesap AD Bağlan orAccountDN hesabından farklı olmalıdır). Bu genellikle Enterprise veya Domain Yönetici istrator'dır.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Örneğin:
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
Bu cmdlet aşağıdaki izinleri ayarlar:
Tür | Veri Akışı Adı | Access | Uygulandığı Öğe |
---|---|---|---|
İzin Ver | SİSTEM | Tam Denetim | Bu nesne |
İzin Ver | Enterprise Admins | Tam Denetim | Bu nesne |
İzin Ver | Domain Admins | Tam Denetim | Bu nesne |
İzin Ver | Yöneticiler | Tam Denetim | Bu nesne |
İzin Ver | Kurumsal Etki Alanı Denetleyicileri | Liste İçeriği | Bu nesne |
İzin Ver | Kurumsal Etki Alanı Denetleyicileri | Tüm Özellikleri Oku | Bu nesne |
İzin Ver | Kurumsal Etki Alanı Denetleyicileri | Okuma İzinleri | Bu nesne |
İzin Ver | Kimliği Doğrulanmış Kullanıcılar | Liste İçeriği | Bu nesne |
İzin Ver | Kimliği Doğrulanmış Kullanıcılar | Tüm Özellikleri Oku | Bu nesne |
İzin Ver | Kimliği Doğrulanmış Kullanıcılar | Okuma İzinleri | Bu nesne |