Microsoft Entra Connect：ADSyncConfig PowerShell 參考

文章
06/23/2024

下列文件提供 Microsoft Entra Connect 隨附的 ADSyncConfig.psm1PowerShell 模組的參考資訊。

Get-ADSyncADConnectorAccount

概要

取得每個 AD 連接器中設定的帳戶名稱與網域

SYNTAX

Get-ADSyncADConnectorAccount

描述

此函式使用 Microsoft Entra Connect 中的 'Get-ADSyncConnector' Cmdlet，以從顯示 AD 連接器帳戶的連線參數表擷取。

範例

範例 1

Get-ADSyncADConnectorAccount

Get-ADSyncObjectsWithInheritanceDisabled

概要

取得已停用權限繼承的 AD 物件

SYNTAX

Get-ADSyncObjectsWithInheritanceDisabled [-SearchBase] <String> [[-ObjectClass] <String>] [<CommonParameters>]

描述

從 SearchBase 參數開始在 AD 中搜尋，並傳回由 ObjectClass 參數所篩選目前已停用 ACL 繼承的所有物件。

範例

範例 1

在 'Contoso ' 網域中尋找已停用繼承的物件 (預設只傳回 'organizationalUnit' 物件)

Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso'

範例 2

在 'Contoso ' 網域中尋找已停用繼承的 'user' 物件

Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso' -ObjectClass 'user'

範例 3

在 OU 中尋找已停用繼承的所有各種物件

Get-ADSyncObjectsWithInheritanceDisabled -SearchBase OU=AzureAD,DC=Contoso,DC=com -ObjectClass '*'

PARAMETERS

-SearchBase

LDAP 查詢的 SearchBase，其可以是 AD 網域 DistinguishedName 或 FQDN

Type: String
Parameter Sets: (All)
Aliases:

Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ObjectClass

要搜尋的物件類別可以是 '*' (適用於任何物件類別)、'user'、'group'、'container' 等。根據預設，此函式會搜尋 'organizationalUnit' 物件類別。

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: 2
Default value: OrganizationalUnit
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

這個 Cmdlet 支援一般參數：-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。如需詳細資訊，請參閱 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。

Set-ADSyncBasicReadPermissions

概要

初始化 Active Directory 樹系和網域，提供基本的讀取權限。

SYNTAX

UserDomain

Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
 [-WhatIf] [-Confirm] [<CommonParameters>]

描述

Set-ADSyncBasicReadPermissions 函式會將必要的權限提供給 AD 同步處理帳戶，包括下列各項：1.對於所有子系電腦物件，其所有屬性的讀取屬性存取權 2.對於所有子系裝置物件，其所有屬性的讀取屬性存取權 3.對於所有子系 foreignsecurityprincipal 物件，其所有屬性的讀取屬性存取權 5.對於所有子系使用者物件，其所有屬性的讀取屬性存取權 6.對於所有子系 inetorgperson 物件，其所有屬性的讀取屬性存取權 7.對於所有子系群組物件，其所有屬性的讀取屬性存取權 8.對於所有子系連絡人物件，其所有屬性的讀取屬性存取權

這些權限會套用到樹系中的所有網域。您可以選擇性以 ADobjectDN 參數提供 DistinguishedName，只在該 AD 物件上設定這些權限 (包括繼承子物件)。

範例

範例 1

Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

範例 2

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

範例 3

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

範例 4

Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的名稱。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的網域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

要設定權限的目標 AD 物件 DistinguishedName (選擇性)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

選擇性參數，指出是否不應使用這些權限來更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

顯示執行 Cmdlet 後會發生的情況。未執行 Cmdlet。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

執行 Cmdlet 之前先提示您確認。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Set-ADSyncExchangeHybridPermissions

概要

初始化 Active Directory 樹系和網域，提供 Exchange 混合功能。

SYNTAX

UserDomain

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
 [-WhatIf] [-Confirm] [<CommonParameters>]

描述

Set-ADSyncExchangeHybridPermissions 函式會將必要的權限提供給 AD 同步處理帳戶，包括下列各項：1.對於所有子系使用者物件，其所有屬性的讀取/寫入屬性存取權 2.對於所有子系 inetorgperson 物件，其所有屬性的讀取/寫入屬性存取權 3.對於所有子系群組物件，其所有屬性的讀取/寫入屬性存取權 4.對於所有子系連絡人物件，其所有屬性的讀取/寫入屬性存取權

這些權限會套用到樹系中的所有網域。您可以選擇性以 ADobjectDN 參數提供 DistinguishedName，只在該 AD 物件上設定這些權限 (包括繼承子物件)。

範例

範例 1

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

範例 2

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

範例 3

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

範例 4

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的名稱。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的網域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

要設定權限的目標 AD 物件 DistinguishedName (選擇性)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

選擇性參數，指出是否不應使用這些權限來更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

顯示執行 Cmdlet 後會發生的情況。未執行 Cmdlet。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

執行 Cmdlet 之前先提示您確認。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Set-ADSyncExchangeMailPublicFolderPermissions

概要

初始化 Active Directory 樹系和網域，提供 Exchange 郵件公用資料夾功能。

SYNTAX

UserDomain

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String>
 -ADConnectorAccountDomain <String> [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm]
 [<CommonParameters>]

DistinguishedName

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

描述

Set-ADSyncExchangeMailPublicFolderPermissions 函式會將必要的權限提供給 AD 同步處理帳戶，包括下列各項：1.對於所有子系 publicfolder 物件，其所有屬性的讀取屬性存取權

這些權限會套用到樹系中的所有網域。您可以選擇性以 ADobjectDN 參數提供 DistinguishedName，只在該 AD 物件上設定這些權限 (包括繼承子物件)。

範例

範例 1

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

範例 2

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

範例 3

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

範例 4

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的名稱。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的網域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

要設定權限的目標 AD 物件 DistinguishedName (選擇性)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

選擇性參數，指出是否不應使用這些權限來更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

顯示執行 Cmdlet 後會發生的情況。未執行 Cmdlet。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

執行 Cmdlet 之前先提示您確認。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Set-ADSyncMsDsConsistencyGuidPermissions

概要

初始化 Active Directory 樹系和網域，提供 mS-DS-ConsistencyGuid 功能。

SYNTAX

UserDomain

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

描述

Set-ADSyncMsDsConsistencyGuidPermissions 函式會將必要的權限提供給 AD 同步處理帳戶，包括下列各項：1.對於所有子系使用者物件，其 mS-DS-ConsistencyGuid 屬性的讀取/寫入屬性存取權

這些權限會套用到樹系中的所有網域。您可以選擇性以 ADobjectDN 參數提供 DistinguishedName，只在該 AD 物件上設定這些權限 (包括繼承子物件)。

範例

範例 1

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

範例 2

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

範例 3

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

範例 4

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的名稱。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的網域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

要設定權限的目標 AD 物件 DistinguishedName (選擇性)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

選擇性參數，指出是否不應使用這些權限來更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

顯示執行 Cmdlet 後會發生的情況。未執行 Cmdlet。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

執行 Cmdlet 之前先提示您確認。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Set-ADSyncPasswordHashSyncPermissions

概要

初始化 Active Directory 樹系和網域，提供密碼雜湊同步處理。

SYNTAX

UserDomain

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [-WhatIf] [-Confirm] [<CommonParameters>]

描述

Set-ADSyncPasswordHashSyncPermissions 函式會將必要的權限提供給 AD 同步處理帳戶，包括下列各項：1.複寫目錄變更 2.複寫所有目錄變更

這些權限會提供給樹系中的所有網域。

範例

範例 1

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

範例 2

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Microsoft Entra Connect 同步將用於管理目錄中物件的 Active Directory 帳戶的名稱。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Microsoft Entra Connect 同步將用於管理目錄中物件的 Active Directory 帳戶的網域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Microsoft Entra Connect 同步將用於管理目錄中物件的 Active Directory 帳戶的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

顯示執行 Cmdlet 後會發生的情況。未執行 Cmdlet。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

執行 Cmdlet 之前先提示您確認。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Set-ADSyncPasswordWritebackPermissions

概要

初始化 Active Directory 樹系和網域，從 Microsoft Entra ID 提供密碼回寫。

SYNTAX

UserDomain

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

描述

Set-ADSyncPasswordWritebackPermissions 函式會將必要的權限提供給 AD 同步處理帳戶，包括下列各項：1.重設子系使用者物件上的密碼 2.對於所有子系使用者物件，其 lockoutTime 屬性的寫入屬性存取權 3.對於所有子系使用者物件，其 pwdLastSet 屬性的寫入屬性存取權

這些權限會套用到樹系中的所有網域。您可以選擇性以 ADobjectDN 參數提供 DistinguishedName，只在該 AD 物件上設定這些權限 (包括繼承子物件)。

範例

範例 1

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

範例 2

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

範例 3

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

範例 4

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的名稱。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的網域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

要設定權限的目標 AD 物件 DistinguishedName (選擇性)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

選擇性參數，指出是否不應使用這些權限來更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

顯示執行 Cmdlet 後會發生的情況。未執行 Cmdlet。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

執行 Cmdlet 之前先提示您確認。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Set-ADSyncRestrictedPermissions

概要

對任何 AD 保護的安全性群組都不包含的 AD 物件限定權限。典型範例是由 Microsoft Entra Connect 自動建立的 AD Connect 帳戶 (MSOL)。此帳戶擁有所有網域的複寫權限，但很容易遭到入侵，形同未受保護。

SYNTAX

Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential>
 [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]

描述

Set-ADSyncRestrictedPermissions 函式會對提供的帳戶限定權限。要限定權限必須執行下列步驟：

停用指定物件上的繼承
將特定物件上所有的 ACE 移除，除了 SELF 特有的 ACE 之外。關於 SELF，我們需要將預設權限維持不變。

指派這些特定權限：

類型	名稱	存取	套用至
允許	系統	完全控制	此物件
允許	Enterprise Admins	完全控制	此物件
允許	Domain Admins	完全控制	此物件
允許	系統管理員	完全控制	此物件
允許	Enterprise Domain Controllers	清單內容讀取所有屬性讀取權限	此物件
允許	已驗證的使用者	清單內容讀取所有屬性讀取權限	此物件

範例

範例 1

Set-ADSyncRestrictedPermissions -ADConnectorAccountDN "CN=TestAccount1,CN=Users,DC=Contoso,DC=com" -Credential $(Get-Credential)

PARAMETERS

-ADConnectorAccountDN

需要限定其權限的 Active Directory 帳戶 DistinguishedName。這通常是 MSOL_nnnnnnnnnn 帳戶，或在 AD 連接器中設定的自訂網域帳戶。

Type: String
Parameter Sets: (All)
Aliases:

Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Credential

具備限制 $ADConnectorAccountDN 帳戶權限之必要權限的系統管理員認證。這通常是企業或網域系統管理員。使用系統管理員帳戶的完整網域名稱以避免帳戶對應失敗。範例：CONTOSO\admin

Type: PSCredential
Parameter Sets: (All)
Aliases:

Required: True
Position: 2
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-DisableCredentialValidation

使用 DisableCredentialValidation 時，如果 -Credential 中提供的認證在 AD 中無效，而且提供的帳戶擁有限制 ADConnectorAccountDN 帳戶權限的必要權限，就不會檢查函式。

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

顯示執行 Cmdlet 後會發生的情況。未執行 Cmdlet。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

執行 Cmdlet 之前先提示您確認。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Set-ADSyncUnifiedGroupWritebackPermissions

概要

初始化 Microsoft Entra ID 樹系和網域，從 Azure AD 提供群組回寫。

SYNTAX

UserDomain

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

描述

Set-ADSyncUnifiedGroupWritebackPermissions 函式會將必要的權限提供給 AD 同步處理帳戶，包括下列各項：1.針對所有群組物件類型與 SubObjects，進行一般讀取/寫入、刪除、刪除樹系，以及建立\刪除子系

這些權限會套用到樹系中的所有網域。您可以選擇性以 ADobjectDN 參數提供 DistinguishedName，只在該 AD 物件上設定這些權限 (包括繼承子物件)。在此情況下，ADobjectDN 會是您要與 GroupWriteback 功能連結之容器的辨別名稱。

範例

範例 1

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

範例 2

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

範例 3

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

範例 4

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的名稱。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的網域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

要設定權限的目標 AD 物件 DistinguishedName (選擇性)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

選擇性參數，指出是否不應使用這些權限來更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

顯示執行 Cmdlet 後會發生的情況。未執行 Cmdlet。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

執行 Cmdlet 之前先提示您確認。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Show-ADSyncADObjectPermissions

概要

顯示所指定 AD 物件的權限。

SYNTAX

Show-ADSyncADObjectPermissions [-ADobjectDN] <String> [<CommonParameters>]

描述

此函式會傳回目前為 -ADobjectDN 參數中所提供之指定 AD 物件設定的所有 AD 權限。 ADobjectDN 必須以 DistinguishedName 格式提供。

範例

範例 1

Show-ADSyncADObjectPermissions -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADobjectDN

Type: String
Parameter Sets: (All)
Aliases:

Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

分享方式：

Microsoft Entra Connect：ADSyncConfig PowerShell 參考

Get-ADSyncADConnectorAccount

概要

SYNTAX

描述

範例

範例 1

Get-ADSyncObjectsWithInheritanceDisabled

概要

SYNTAX

描述

範例

範例 1

範例 2

範例 3

PARAMETERS

-SearchBase

-ObjectClass

CommonParameters

Set-ADSyncBasicReadPermissions

概要

SYNTAX

UserDomain

DistinguishedName

描述

範例

範例 1

範例 2

範例 3

範例 4

PARAMETERS

-ADConnectorAccountName

-ADConnectorAccountDomain

-ADConnectorAccountDN

-ADobjectDN

-SkipAdminSdHolders

-WhatIf

-Confirm

CommonParameters

Set-ADSyncExchangeHybridPermissions

概要

SYNTAX

UserDomain

DistinguishedName

描述

範例

範例 1

範例 2

範例 3

範例 4

PARAMETERS

-ADConnectorAccountName

-ADConnectorAccountDomain

-ADConnectorAccountDN

-ADobjectDN

-SkipAdminSdHolders

-WhatIf

-Confirm

CommonParameters

Set-ADSyncExchangeMailPublicFolderPermissions

概要

SYNTAX

UserDomain

DistinguishedName

描述

範例

範例 1

範例 2

範例 3

範例 4

PARAMETERS

-ADConnectorAccountName

-ADConnectorAccountDomain

-ADConnectorAccountDN

-ADobjectDN

-SkipAdminSdHolders

-WhatIf

-Confirm

CommonParameters