Microsoft Entra 布建代理程序 gMSA PowerShell Cmdlet
本檔的目的是描述 Microsoft Entra 連線 雲端布建代理程式 gMSA PowerShell Cmdlet。 這些 Cmdlet 可讓您對服務帳戶 (gMSA) 上套用的權限有更多的細微性。 根據預設,Microsoft Entra Cloud Sync 會在雲端布建代理程式安裝期間,在預設 gMSA 或自定義 gMSA 上套用與 Microsoft Entra 連線 類似的所有許可權。
本文件將涵蓋下列 Cmdlet:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
如何使用 Cmdlet:
使用這些 Cmdlet 需要下列必要條件。
安裝佈建代理程式。
將布建代理程式 PowerShell 模組匯入 PowerShell 工作階段。
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"這些 Cmdlet 需要稱為
Credential的參數,其能被傳遞,或在命令列中未提供時提示使用者。 根據所使用的 Cmdlet 語法,這些認證必須是企業系統管理員帳戶,或至少是網域管理員 (在您設定權限的目標網域)。若要建立認證的變數,請使用:
$credential = Get-Credential若要設定雲端佈建代理程式的 Active Directory 權限,您可以使用下列 Cmdlet。 這將授與網域根目錄中的權限,讓服務帳戶能夠管理內部部署的 Active Directory 物件。 請參閱下列使用 Set-AADCloudSyncPermissions,以取得設定權限的範例。
Set-AADCloudSyncPermissions -EACredential $credential若要限制在雲端佈建代理程式帳戶上預設的 Active Directory 權限,您可以使用下列 Cmdlet。 這會停用權限繼承並移除系統管理員 SELF 和完整控制權之外的全部現有權限,以此增加服務帳戶的安全性。 請參閱下列的使用 Set-AADCloudSyncRestrictedPermission,以此取得限制權限的範例。
Set-AADCloudSyncRestrictedPermission -Credential $credential
Using Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions 支援下列權限類型,與 Azure AD Connect Classic Sync (ADSync) 所使用的權限相同。 以下是支援的權限類型:
| 權限類型 | 描述 |
|---|---|
| BasicRead | 請參閱 Microsoft Entra 連線 的基本讀取許可權 |
| PasswordHashSync | 請參閱 Microsoft Entra 連線 的 PasswordHashSync 許可權 |
| PasswordWriteBack | 請參閱 Microsoft Entra 連線 的 PasswordWriteBack 許可權 |
| HybridExchangePermissions | 請參閱 Microsoft Entra 連線 的 HybridExchangePermissions 許可權 |
| ExchangeMailPublicFolderPermissions | 請參閱 Microsoft Entra 連線 的 ExchangeMailPublicFolderPermissions 許可權 |
| UserGroupCreateDelete | Microsoft Entra Cloud Sync 的群組布建至 AD 的許可權。 在 'This object and all descendant objects' 上套用 'Create/delete User objects',並在 'This object and all descendant objects' 上套用 'Create/delete group objects' |
| 全部 | 套用上述所有權限 |
您可以透過下列兩種方式之一來使用 AADCloudSyncPermissions:
將權限授與所有已設定的網域
將特定權限授與所有已設定的網域將需要使用企業系統管理員帳戶。
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
將權限授與一個特定的網域
將特定權限授與特定網域,需要使用屬於企業管理員或目標網域管理員的 TargetDomainCredential。 TargetDomain 必須透過精靈進行設定。
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
使用 Set-AADCloudSyncRestrictedPermissions
為了提高安全性,Set-AADCloudSyncRestrictedPermissions 將會強化雲端佈建代理程式帳戶本身設定的權限。 雲端佈建代理程式帳戶的強化權限需要下列變更:
停用繼承
除了 SELF 特有的 ACE 以外,移除所有預設權限。
設定 SYSTEM、管理員、網域管理員和企業管理員的完整控制權限。
設定已驗證使用者和企業網域控制站的讀取權限。
若要指定具有必要權限可限制雲端佈建代理程式帳戶上 Active Directory 權限的系統管理員帳戶,必須要使用 -Credential 參數。 這通常是網域或企業系統管理員。
例如:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential