Microsoft Entra 预配代理 gMSA PowerShell cmdlet

本本档旨在介绍 Microsoft Entra Connect 云预配代理 gMSA PowerShell cmdlet。 利用这些 cmdlet，可以更细致地了解应用于服务帐户 (gMSA) 的权限。 默认情况下，在云预配代理安装期间，Microsoft Entra 云同步会在默认 gMSA 或自定义 gMSA 上应用与 Microsoft Entra Connect 类似的所有权限。

本文档将介绍以下 cmdlet：

Set-AADCloudSyncPermissions

Set-AADCloudSyncRestrictedPermissions

如何使用 cmdlet：

若要使用这些 cmdlet，需要满足以下先决条件。

1. 安装预配代理。

2. 将预配代理 PowerShell 模块导入到 PowerShell 会话中。

   Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"
   

3. 这些 cmdlet 需要一个名为 Credential 的参数，该参数可以传递，如果未在命令行中提供，用户会收到提示。 根据所使用的 cmdlet 语法，这些凭据必须是企业管理员帐户，或者至少是设置权限的目标域的域管理员。

4. 若要为凭据创建变量，请使用：

   $credential = Get-Credential

5. 若要为云预配代理设置 Active Directory 权限，可以使用以下 cmdlet。 这将授予域根目录中的权限，允许服务帐户管理本地 Active Directory 对象。 有关设置权限的示例，请参阅下面的使用 Set-AADCloudSyncPermissions。

   Set-AADCloudSyncPermissions -EACredential $credential

6. 若要限制默认情况下在云预配代理帐户上设置的 Active Directory 权限，可以使用以下 cmdlet。 这将通过禁用权限继承并移除所有现有权限（管理员的 SELF 和完全控制之外）来提高服务帐户的安全性。 有关限制权限的示例，请参阅下面的使用 Set-AADCloudSyncRestrictedPermission。

   Set-AADCloudSyncRestrictedPermission -Credential $credential

使用 Set-AADCloudSyncPermissions

Set-AADCloudSyncPermissions 支持以下与 Azure AD Connect 经典同步 (ADSync) 使用的权限完全相同的权限类型。 支持以下权限类型：

权限类型	说明
BasicRead	请参阅 Microsoft Entra Connect 的 BasicRead 权限
PasswordHashSync	请参阅 Microsoft Entra Connect 的 PasswordHashSync 权限
PasswordWriteBack	请参阅 Microsoft Entra Connect 的 PasswordWriteBack 权限
HybridExchangePermissions	请参阅 Microsoft Entra Connect 的 HybridExchangePermissions 权限
ExchangeMailPublicFolderPermissions	请参阅 Microsoft Entra Connect 的 ExchangeMailPublicFolderPermissions 权限
UserGroupCreateDelete	Microsoft Entra Cloud Sync 的组预配到 AD 的权限。 对“此对象和所有后代对象”应用“创建/删除用户对象”，并对“此对象和所有后代对象”应用“创建/删除组对象”
全部	应用上述所有权限

可通过两种方式之一来使用 AADCloudSyncPermissions：

• 向所有已配置的域授予权限
• 向特定域授予权限

向所有已配置的域授予权限

将某些权限授予所有已配置的域将会需要使用企业管理员帐户。

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential 

向特定域授予权限

向特定域授予特定权限需要使用作为企业管理员或目标域的域管理员的 TargetDomainCredential。 必须通过向导配置 TargetDomain。

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

使用 Set-AADCloudSyncRestrictedPermissions

为了提高安全性，Set-AADCloudSyncRestrictedPermissions 将收紧对云预配代理帐户本身设置的权限。 对云预配代理帐户的强化权限涉及以下更改：

• 禁用继承

• 移除除特定于 SELF 的 ACE 之外的所有默认权限。

• 为 SYSTEM、管理员、域管理员和企业管理员设置完全控制权限。

• 为经过身份验证的用户和企业域控制器设置读取权限。

  必需使用 -Credential 参数才能指定具有必要权限来限制云预配代理帐户上的 Active Directory 权限的管理员帐户。 这通常为域或企业管理员。

例如：

$credential = Get-Credential 
Set-AADCloudSyncRestrictedPermissions -Credential $credential