Aracılığıyla paylaş


Microsoft Entra Bağlan: AD DS Bağlan veya Hesap İzinlerini Yapılandırma

adlı ADSyncConfig.psm1 PowerShell modülü, Microsoft Entra Bağlan dağıtımınız için doğru Active Directory izinlerini yapılandırmanıza yardımcı olacak bir cmdlet koleksiyonu içeren 1.1.880.0 derlemesiyle (Ağustos 2018'de yayımlandı) tanıtıldı.

Genel bakış

Aşağıdaki PowerShell cmdlet'leri, Microsoft Entra Bağlan'da etkinleştirmeyi seçtiğiniz her özellik için AD DS Bağlan or hesabının Active Directory izinlerini ayarlamak için kullanılabilir. Herhangi bir sorunu önlemek için, ormanınıza bağlanmak için özel bir etki alanı hesabı kullanarak Microsoft Entra Bağlan yüklemek istediğinizde Active Directory izinlerini önceden hazırlamanız gerekir. Bu AD Eşitleme Config modülü, Microsoft Entra Bağlan dağıtıldıktan sonra izinleri yapılandırmak için de kullanılabilir.

ad ds hesabına genel bakış

Microsoft Entra Bağlan Express yüklemesi için, Active Directory'de gerekli tüm izinlerle otomatik olarak oluşturulan bir hesap (MSOL_nnnnnnnnnn) oluşturulur, dolayısıyla kuruluş birimlerinde veya Microsoft Entra ID ile eşitlemek istediğiniz belirli Active Directory nesnelerinde izin devralmayı engellemediğiniz sürece bu AD Eşitleme Config modülünü kullanmanız gerekmez.

İzin özeti

Aşağıdaki tabloda AD nesnelerinde gereken izinlerin bir özeti verilmektedir:

Özellik İzinler
ms-DS-ConsistencyGuid özelliği Tasarım Kavramları - sourceAnchor olarak ms-DS-ConsistencyGuid kullanma bölümünde belgelenen ms-DS-ConsistencyGuid özniteliği için Okuma ve Yazma izinleri.
Parola karması eşitleme
  • Dizin Değişikliklerini Çoğaltma - Temel salt okunur için gereklidir
  • Dizin Değişikliklerini Çoğaltma Tümü
  • Exchange karma dağıtımı Kullanıcılar, gruplar ve kişiler için Exchange karma geri yazma bölümünde belgelenen öznitelikler için Okuma ve Yazma izinleri.
    Exchange Posta Ortak Klasörü Ortak klasörler için Exchange Mail Ortak Klasörü’nde belgelenen özniteliklerini okuma izinleri.
    Parola geri yazma Kullanıcılar için parola yönetimini kullanmaya başlama bölümünde belgelenen özniteliklere yönelik okuma ve yazma izinleri.
    Cihaz geri yazma Cihaz geri yazmada belgelenen cihaz nesneleri ve kapsayıcıları için Okuma ve Yazma izinleri.
    Grup geri yazma Eşitlenmiş Office 365 grupları için grup nesnelerini okuma, Oluşturma, Güncelleştirme ve Silme.

    AD Eşitleme Config PowerShell modülünü kullanma

    AD Eşitleme Config modülü, AD DS PowerShell modülüne ve araçlarına bağlı olduğundan AD DS için Uzak Sunucu Yönetici istrasyon Araçları'nı (RSAT) gerektirir. AD DS için RSAT yüklemek için 'Farklı Çalıştır Yönetici istrator' ile bir Windows PowerShell penceresi açın ve şunu yürütür:

    Install-WindowsFeature RSAT-AD-Tools 
    

    Yapılandırma

    Not

    Ayrıca C:\Program Files\Microsoft Entra Bağlan\AdSyncConfig\AD Eşitleme Config.psm1 dosyasını AD DS için RSAT'nin yüklü olduğu bir Etki Alanı Denetleyicisine kopyalayabilir ve buradan bu PowerShell modülünü kullanabilirsiniz. Bazı cmdlet'lerin yalnızca Microsoft Entra Bağlan barındıran bilgisayarda çalıştırılabildiğini unutmayın.

    AD Eşitleme Config kullanmaya başlamak için modülü bir Windows PowerShell penceresine yüklemeniz gerekir:

    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
    

    Bu modülde yer alan tüm cmdlet'leri denetlemek için şunu yazabilirsiniz:

    Get-Command -Module AdSyncConfig  
    

    İşaretli

    Her cmdlet, AD DS Bağlan or Hesabını ve bir Yönetici SDHolder anahtarını giriş için aynı parametrelere sahiptir. AD DS Bağlan or Hesabınızı belirtmek için hesap adını ve etki alanını veya yalnızca hesabın Ayırt Edici Adı'nı (DN) sağlayabilirsiniz.

    Örneğin.:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
    

    Veya;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
    

    ve değerlerini ortamınız için uygun değerlerle değiştirdiğinden <ADAccountName><ADDomainName><ADAccountDN> emin olun.

    Yönetici SDHolder kapsayıcısı üzerindeki izinleri değiştirmek istiyorsanız anahtarını -IncludeAdminSdHolderskullanın. Bunun önerilmez.

    Varsayılan olarak, tüm ayarlanan izinler cmdlet'leri Ormandaki her Etki Alanının kökünde AD DS izinlerini ayarlamaya çalışır; bu da PowerShell oturumunu çalıştıran kullanıcının Ormandaki her etki alanında Etki Alanı Yönetici istrator hakları gerektirdiği anlamına gelir. Bu gereksinim nedeniyle, Orman kökünden bir Enterprise Yönetici istrator kullanılması önerilir. Microsoft Entra Bağlan dağıtımınızda birden çok AD DS Bağlan or varsa, AD DS Bağlan or'ı olan her ormanda aynı cmdlet'i çalıştırmanız gerekir.

    İzinleri ayarlamak istediğiniz hedef nesnenin DN'sinin ardından parametresini -ADobjectDN kullanarak belirli bir OU veya AD DS nesnesi üzerinde de izin ayarlayabilirsiniz. Hedef ADobjectDN kullanırken, cmdlet etki alanı kökünde veya Yönetici SDHolder kapsayıcısı üzerinde değil, yalnızca bu nesne üzerinde izinleri ayarlar. İzin devralma devre dışı bırakılmış belirli OU'larınız veya AD DS nesneleriniz varsa bu parametre yararlı olabilir (bkz. İzin devralma devre dışı bırakılmış AD DS nesnelerini bulma)

    Bu ortak parametrelerin Set-ADSyncRestrictedPermissions özel durumları, AD DS Bağlan or Hesabı üzerindeki izinleri ayarlamak için kullanılan cmdlet'tir ve Set-ADSyncPasswordHashSyncPermissions Parola Karması Eşitleme için gereken izinler yalnızca etki alanı kökünde ayarlandığından, bu cmdlet veya -IncludeAdminSdHolders parametrelerini içermez-ObjectDN.

    AD DS Bağlan or Hesabınızı belirleme

    Microsoft Entra Bağlan zaten yüklüyse ve Şu anda Microsoft Entra Bağlan tarafından kullanılmakta olan AD DS Bağlan or Hesabının ne olduğunu denetlemek istiyorsanız, cmdlet'ini yürütebilirsiniz:

    Get-ADSyncADConnectorAccount 
    

    İzin devralma devre dışı bırakılmış AD DS nesnelerini bulma

    İzin devralma devre dışı bırakılmış bir AD DS nesnesi olup olmadığını denetlemek istiyorsanız şunları çalıştırabilirsiniz:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' 
    

    Varsayılan olarak, bu cmdlet yalnızca devre dışı devralma olan OU'ları arar, ancak parametrede -ObjectClass diğer AD DS nesne sınıflarını belirtebilir veya tüm nesne sınıfları için aşağıdaki gibi '*' kullanabilirsiniz:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass * 
    

    Nesnenin AD DS izinlerini görüntüleme

    Aşağıdaki cmdlet'i kullanarak DistinguishedName değerini sağlayarak bir Active Directory nesnesinde ayarlanmış olan izinlerin listesini görüntüleyebilirsiniz:

    Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>' 
    

    AD DS Bağlayıcı Hesabı İzinlerini Yapılandırma

    Temel Salt Okunur İzinleri Yapılandırma

    Herhangi bir Microsoft Entra Bağlan özelliği kullanmadığınızda AD DS Bağlan or hesabının temel salt okunur izinlerini ayarlamak için şunu çalıştırın:

    Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    Veya;

    Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Bu cmdlet aşağıdaki izinleri ayarlar:

    Tür Veri Akışı Adı Access Uygulandığı Öğe
    İzin Ver AD DS Bağlan or Hesabı Tüm özellikleri okuma Alt cihaz nesneleri
    İzin Ver AD DS Bağlan or Hesabı Tüm özellikleri okuma Descendant InetOrgPerson nesneleri
    İzin Ver AD DS Bağlan or Hesabı Tüm özellikleri okuma Alt Bilgisayar nesneleri
    İzin Ver AD DS Bağlan or Hesabı Tüm özellikleri okuma Descendant foreignSecurityPrincipal nesneleri
    İzin Ver AD DS Bağlan or Hesabı Tüm özellikleri okuma Alt Grup nesneleri
    İzin Ver AD DS Bağlan or Hesabı Tüm özellikleri okuma Alt Kullanıcı nesneleri
    İzin Ver AD DS Bağlan or Hesabı Tüm özellikleri okuma Alt Kişi nesneleri
    İzin Ver AD DS Bağlan or Hesabı Dizin Değişikliklerini Çoğaltma Yalnızca bu nesne (Etki alanı kökü)

    MS-DS-Consistency-Guid İzinlerini Yapılandırma

    Ms-Ds-Consistency-Guid özniteliğini kaynak bağlantı olarak kullanırken AD DS Bağlan or hesabının izinlerini ayarlamak için ("Azure'ın kaynak bağlantı noktasını benim için yönetmesine izin ver" seçeneği olarak da bilinir) komutunu çalıştırın:

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    Veya;

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Bu cmdlet aşağıdaki izinleri ayarlar:

    Tür Veri Akışı Adı Access Uygulandığı Öğe
    İzin Ver AD DS Bağlan or Hesabı Okuma/Yazma özelliği Alt Kullanıcı nesneleri

    Parola Karması Eşitleme İzinleri

    Parola Karması Eşitlemesi kullanırken AD DS Bağlan or hesabının izinlerini ayarlamak için şunu çalıştırın:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>] 
    

    Veya;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>] 
    

    Bu cmdlet aşağıdaki izinleri ayarlar:

    Tür Veri Akışı Adı Access Uygulandığı Öğe
    İzin Ver AD DS Bağlan or Hesabı Dizin Değişikliklerini Çoğaltma Yalnızca bu nesne (Etki alanı kökü)
    İzin Ver AD DS Bağlan or Hesabı Dizin DeğişiklikleriNin Tümünü Çoğaltma Yalnızca bu nesne (Etki alanı kökü)

    Parola Geri Yazma İzinleri

    Parola Geri Yazma kullanırken AD DS Bağlan or hesabının izinlerini ayarlamak için şunu çalıştırın:

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    Veya;

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Bu cmdlet aşağıdaki izinleri ayarlar:

    Tür Veri Akışı Adı Access Uygulandığı Öğe
    İzin Ver AD DS Bağlan or Hesabı Parola Sıfırla Alt Kullanıcı nesneleri
    İzin Ver AD DS Bağlan or Hesabı Write özelliği lockoutTime Alt Kullanıcı nesneleri
    İzin Ver AD DS Bağlan or Hesabı pwdLastSet yazma özelliği Alt Kullanıcı nesneleri

    Grup Geri Yazma İzinleri

    Grup Geri Yazma kullanırken AD DS Bağlan or hesabının izinlerini ayarlamak için şunu çalıştırın:

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    Veya;

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
    

    Bu cmdlet aşağıdaki izinleri ayarlar:

    Tür Veri Akışı Adı Access Uygulandığı Öğe
    İzin Ver AD DS Bağlan or Hesabı Genel Okuma/Yazma Nesne türü grubunun ve alt nesnelerin tüm öznitelikleri
    İzin Ver AD DS Bağlan or Hesabı Alt nesne oluşturma/silme Nesne türü grubunun ve alt nesnelerin tüm öznitelikleri
    İzin Ver AD DS Bağlan or Hesabı Ağaç nesnelerini silme/silme Nesne türü grubunun ve alt nesnelerin tüm öznitelikleri

    Exchange Karma Dağıtımı İzinleri

    Exchange Karma dağıtımı kullanırken AD DS Bağlan or hesabının izinlerini ayarlamak için şunu çalıştırın:

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    Veya;

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Bu cmdlet aşağıdaki izinleri ayarlar:

    Tür Veri Akışı Adı Access Uygulandığı Öğe
    İzin Ver AD DS Bağlan or Hesabı Tüm özellikleri okuma/yazma Alt Kullanıcı nesneleri
    İzin Ver AD DS Bağlan or Hesabı Tüm özellikleri okuma/yazma Descendant InetOrgPerson nesneleri
    İzin Ver AD DS Bağlan or Hesabı Tüm özellikleri okuma/yazma Alt Grup nesneleri
    İzin Ver AD DS Bağlan or Hesabı Tüm özellikleri okuma/yazma Alt Kişi nesneleri

    Exchange Mail Ortak Klasörleri İzinleri

    Exchange Mail Ortak Klasörleri özelliğini kullanırken AD DS Bağlan or hesabının izinlerini ayarlamak için şunu çalıştırın:

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    Veya;

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Bu cmdlet aşağıdaki izinleri ayarlar:

    Tür Veri Akışı Adı Access Uygulandığı Öğe
    İzin Ver AD DS Bağlan or Hesabı Tüm özellikleri okuma Alt Ortak Klasör nesneleri

    AD DS Bağlan or Hesabında İzinleri Kısıtla

    Bu PowerShell betiği, parametre olarak sağlanan AD Bağlan or Hesabı için izinleri sıkılaştırır. İzinlerin sıkılaştırılması aşağıdaki adımları içerir:

    • Belirtilen nesnede devralmayı devre dışı bırakma

    • SELF söz konusu olduğunda varsayılan izinleri olduğu gibi tutmak istediğimiz için SELF'ye özgü ACL'ler dışında, belirli nesnedeki tüm ACL'leri kaldırın.

      -AD Bağlan orAccountDN parametresi, izinlerinin sıkılaştırılması gereken AD hesabıdır. Bu genellikle AD DS Bağlan or'da yapılandırılan MSOL_nnnnnnnnnnnn etki alanı hesabıdır (bkz. AD DS Bağlan or Hesabınızı belirleme). Hedef AD nesnesinde Active Directory izinlerini kısıtlamak için gerekli ayrıcalıklara sahip Yönetici istrator hesabını belirtmek için -Credential parametresi gereklidir (bu hesap AD Bağlan orAccountDN hesabından farklı olmalıdır). Bu genellikle Enterprise veya Domain Yönetici istrator'dır.

    Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>] 
    

    Örneğin:

    $credential = Get-Credential 
    Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential  
    

    Bu cmdlet aşağıdaki izinleri ayarlar:

    Tür Veri Akışı Adı Access Uygulandığı Öğe
    İzin Ver SİSTEM Tam Denetim Bu nesne
    İzin Ver Enterprise Admins Tam Denetim Bu nesne
    İzin Ver Domain Admins Tam Denetim Bu nesne
    İzin Ver Yöneticiler Tam Denetim Bu nesne
    İzin Ver Kurumsal Etki Alanı Denetleyicileri Liste İçeriği Bu nesne
    İzin Ver Kurumsal Etki Alanı Denetleyicileri Tüm Özellikleri Oku Bu nesne
    İzin Ver Kurumsal Etki Alanı Denetleyicileri Okuma İzinleri Bu nesne
    İzin Ver Kimliği Doğrulanmış Kullanıcılar Liste İçeriği Bu nesne
    İzin Ver Kimliği Doğrulanmış Kullanıcılar Tüm Özellikleri Oku Bu nesne
    İzin Ver Kimliği Doğrulanmış Kullanıcılar Okuma İzinleri Bu nesne

    Sonraki Adımlar