通过

Microsoft Entra 预配代理 gMSA PowerShell cmdlet

本本档旨在介绍 Microsoft Entra Connect 云预配代理 gMSA PowerShell cmdlet。 利用这些 cmdlet,可以更细致地了解应用于服务帐户 (gMSA) 的权限。 默认情况下,在云预配代理安装期间,Microsoft Entra 云同步会在默认 gMSA 或自定义 gMSA 上应用与 Microsoft Entra Connect 类似的所有权限。

本文档介绍以下 cmdlet:

Set-AADCloudSyncPermissions

Set-AADCloudSyncRestrictedPermissions

如何使用 cmdlet:

若要使用这些 cmdlet,需要满足以下先决条件。

  1. 安装预配代理。

  2. 将预配代理 PowerShell 模块导入到 PowerShell 会话中。

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"

  3. 这些 cmdlet 需要一个名为 Credential 的参数,该参数可以传递,或者在命令行中未提供时提示用户。 根据所使用的 cmdlet 语法,这些凭据必须是企业管理员帐户,或者至少是设置权限的目标域的域管理员。

  4. 若要为凭据创建变量,请使用:

    $credential = Get-Credential

  5. 若要为云预配代理设置 Active Directory 权限,可以使用以下 cmdlet。 这会授予域根目录中的权限,允许服务帐户管理本地 Active Directory 对象。 有关设置权限的示例,请参阅下面的使用 Set-AADCloudSyncPermissions

    Set-AADCloudSyncPermissions -EACredential $credential

  6. 若要限制默认情况下在云预配代理帐户上设置的 Active Directory 权限,可以使用以下 cmdlet。 这可以通过禁用权限继承和删除除管理员的 SELF 和完全控制之外的所有现有权限来提高服务帐户安全性。 请参阅下面的使用 Set-AADCloudSyncRestrictedPermission以获取有关限制权限的示例。

    Set-AADCloudSyncRestrictedPermission -Credential $credential

使用 Set-AADCloudSyncPermissions

Set-AADCloudSyncPermissions 支持以下与 Azure AD Connect 经典同步 (ADSync) 使用的权限完全相同的权限类型。 支持以下权限类型:

权限类型 说明
BasicRead 请参阅 Microsoft Entra Connect 的 BasicRead 权限
PasswordHashSync 请参阅 Microsoft Entra Connect 的 PasswordHashSync 权限
PasswordWriteBack 请参阅 Microsoft Entra Connect 的 PasswordWriteBack 权限
HybridExchangePermissions 请参阅 Microsoft Entra Connect 的 HybridExchangePermissions 权限
ExchangeMailPublicFolderPermissions 请参阅 Microsoft Entra Connect 的 ExchangeMailPublicFolderPermissions 权限
UserGroupCreateDelete Microsoft Entra 云同步的到 AD 的组预配的权限。 对“此对象和所有后代对象”应用“创建/删除用户对象”,并对“此对象和所有后代对象”应用“创建/删除组对象”
全部 应用上述所有权限

可通过两种方式之一来使用 AADCloudSyncPermissions:

向所有已配置的域授予权限

向所有配置的域授予某些权限需要使用企业管理员帐户。

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential

向特定域授予权限

向特定域授予特定权限需要使用作为企业管理员或目标域的域管理员的 TargetDomainCredential。 必须通过向导配置 TargetDomain。

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

使用 Set-AADCloudSyncRestrictedPermissions

为了提高安全性,Set-AADCloudSyncRestrictedPermissions 优化对云预配代理帐户本身设置的权限。 对云预配代理帐户的强化权限涉及以下更改:

  • 禁用继承

  • 除了与 SELF 相关的 ACE 之外,移除所有默认权限。

  • 为 SYSTEM、管理员、域管理员和企业管理员设置完全控制权限。

  • 为经过身份验证的用户和企业域控制器设置读取权限。

    必需使用 -Credential 参数才能指定具有必要权限来限制云预配代理帐户上的 Active Directory 权限的管理员帐户。 这通常为域或企业管理员。

例如:

$credential = Get-Credential 
Set-AADCloudSyncRestrictedPermissions -Credential $credential

后续步骤