Microsoft Entra Connect:ADSyncConfig PowerShell 參考
下列文件提供 Microsoft Entra Connect 隨附的 ADSyncConfig.psm1PowerShell 模組的參考資訊。
Get-ADSyncADConnectorAccount
概要
取得每個 AD 連接器中設定的帳戶名稱與網域
SYNTAX
Get-ADSyncADConnectorAccount
描述
此函式使用 Microsoft Entra Connect 中的 'Get-ADSyncConnector' Cmdlet,以從顯示 AD 連接器帳戶的連線參數表擷取。
範例
範例 1
Get-ADSyncADConnectorAccount
Get-ADSyncObjectsWithInheritanceDisabled
概要
取得已停用權限繼承的 AD 物件
SYNTAX
Get-ADSyncObjectsWithInheritanceDisabled [-SearchBase] <String> [[-ObjectClass] <String>] [<CommonParameters>]
描述
從 SearchBase 參數開始在 AD 中搜尋,並傳回由 ObjectClass 參數所篩選目前已停用 ACL 繼承的所有物件。
範例
範例 1
在 'Contoso ' 網域中尋找已停用繼承的物件 (預設只傳回 'organizationalUnit' 物件)
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso'
範例 2
在 'Contoso ' 網域中尋找已停用繼承的 'user' 物件
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso' -ObjectClass 'user'
範例 3
在 OU 中尋找已停用繼承的所有各種物件
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase OU=AzureAD,DC=Contoso,DC=com -ObjectClass '*'
PARAMETERS
-SearchBase
LDAP 查詢的 SearchBase,其可以是 AD 網域 DistinguishedName 或 FQDN
Type: String
Parameter Sets: (All)
Aliases:
Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ObjectClass
要搜尋的物件類別可以是 '*' (適用於任何物件類別)、'user'、'group'、'container' 等。 根據預設,此函式會搜尋 'organizationalUnit' 物件類別。
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: 2
Default value: OrganizationalUnit
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
這個 Cmdlet 支援一般參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncBasicReadPermissions
概要
初始化 Active Directory 樹系和網域,提供基本的讀取權限。
SYNTAX
UserDomain
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
[-WhatIf] [-Confirm] [<CommonParameters>]
描述
Set-ADSyncBasicReadPermissions 函式會將必要的權限提供給 AD 同步處理帳戶,包括下列各項:1.對於所有子系電腦物件,其所有屬性的讀取屬性存取權 2.對於所有子系裝置物件,其所有屬性的讀取屬性存取權 3.對於所有子系 foreignsecurityprincipal 物件,其所有屬性的讀取屬性存取權 5.對於所有子系使用者物件,其所有屬性的讀取屬性存取權 6.對於所有子系 inetorgperson 物件,其所有屬性的讀取屬性存取權 7.對於所有子系群組物件,其所有屬性的讀取屬性存取權 8.對於所有子系連絡人物件,其所有屬性的讀取屬性存取權
這些權限會套用到樹系中的所有網域。 您可以選擇性以 ADobjectDN 參數提供 DistinguishedName,只在該 AD 物件上設定這些權限 (包括繼承子物件)。
範例
範例 1
Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
範例 2
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
範例 3
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
範例 4
Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的名稱。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的網域。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的 DistinguishedName。
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
要設定權限的目標 AD 物件 DistinguishedName (選擇性)
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
選擇性參數,指出是否不應使用這些權限來更新 AdminSDHolder 容器
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
顯示執行 Cmdlet 後會發生的情況。 未執行 Cmdlet。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
執行 Cmdlet 之前先提示您確認。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
這個 Cmdlet 支援一般參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncExchangeHybridPermissions
概要
初始化 Active Directory 樹系和網域,提供 Exchange 混合功能。
SYNTAX
UserDomain
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
[-WhatIf] [-Confirm] [<CommonParameters>]
描述
Set-ADSyncExchangeHybridPermissions 函式會將必要的權限提供給 AD 同步處理帳戶,包括下列各項:1.對於所有子系使用者物件,其所有屬性的讀取/寫入屬性存取權 2.對於所有子系 inetorgperson 物件,其所有屬性的讀取/寫入屬性存取權 3.對於所有子系群組物件,其所有屬性的讀取/寫入屬性存取權 4.對於所有子系連絡人物件,其所有屬性的讀取/寫入屬性存取權
這些權限會套用到樹系中的所有網域。 您可以選擇性以 ADobjectDN 參數提供 DistinguishedName,只在該 AD 物件上設定這些權限 (包括繼承子物件)。
範例
範例 1
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
範例 2
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
範例 3
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
範例 4
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的名稱。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的網域。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的 DistinguishedName。
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
要設定權限的目標 AD 物件 DistinguishedName (選擇性)
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
選擇性參數,指出是否不應使用這些權限來更新 AdminSDHolder 容器
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
顯示執行 Cmdlet 後會發生的情況。 未執行 Cmdlet。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
執行 Cmdlet 之前先提示您確認。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
這個 Cmdlet 支援一般參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncExchangeMailPublicFolderPermissions
概要
初始化 Active Directory 樹系和網域,提供 Exchange 郵件公用資料夾功能。
SYNTAX
UserDomain
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String>
-ADConnectorAccountDomain <String> [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm]
[<CommonParameters>]
DistinguishedName
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
描述
Set-ADSyncExchangeMailPublicFolderPermissions 函式會將必要的權限提供給 AD 同步處理帳戶,包括下列各項:1.對於所有子系 publicfolder 物件,其所有屬性的讀取屬性存取權
這些權限會套用到樹系中的所有網域。 您可以選擇性以 ADobjectDN 參數提供 DistinguishedName,只在該 AD 物件上設定這些權限 (包括繼承子物件)。
範例
範例 1
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
範例 2
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
範例 3
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
範例 4
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的名稱。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的網域。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的 DistinguishedName。
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
要設定權限的目標 AD 物件 DistinguishedName (選擇性)
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
選擇性參數,指出是否不應使用這些權限來更新 AdminSDHolder 容器
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
顯示執行 Cmdlet 後會發生的情況。 未執行 Cmdlet。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
執行 Cmdlet 之前先提示您確認。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
這個 Cmdlet 支援一般參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncMsDsConsistencyGuidPermissions
概要
初始化 Active Directory 樹系和網域,提供 mS-DS-ConsistencyGuid 功能。
SYNTAX
UserDomain
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
描述
Set-ADSyncMsDsConsistencyGuidPermissions 函式會將必要的權限提供給 AD 同步處理帳戶,包括下列各項:1.對於所有子系使用者物件,其 mS-DS-ConsistencyGuid 屬性的讀取/寫入屬性存取權
這些權限會套用到樹系中的所有網域。 您可以選擇性以 ADobjectDN 參數提供 DistinguishedName,只在該 AD 物件上設定這些權限 (包括繼承子物件)。
範例
範例 1
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
範例 2
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
範例 3
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
範例 4
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的名稱。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的網域。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的 DistinguishedName。
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
要設定權限的目標 AD 物件 DistinguishedName (選擇性)
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
選擇性參數,指出是否不應使用這些權限來更新 AdminSDHolder 容器
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
顯示執行 Cmdlet 後會發生的情況。 未執行 Cmdlet。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
執行 Cmdlet 之前先提示您確認。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
這個 Cmdlet 支援一般參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncPasswordHashSyncPermissions
概要
初始化 Active Directory 樹系和網域,提供密碼雜湊同步處理。
SYNTAX
UserDomain
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [-WhatIf] [-Confirm] [<CommonParameters>]
描述
Set-ADSyncPasswordHashSyncPermissions 函式會將必要的權限提供給 AD 同步處理帳戶,包括下列各項:1.複寫目錄變更 2.複寫所有目錄變更
這些權限會提供給樹系中的所有網域。
範例
範例 1
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
範例 2
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Microsoft Entra Connect 同步將用於管理目錄中物件的 Active Directory 帳戶的名稱。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Microsoft Entra Connect 同步將用於管理目錄中物件的 Active Directory 帳戶的網域。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Microsoft Entra Connect 同步將用於管理目錄中物件的 Active Directory 帳戶的 DistinguishedName。
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
顯示執行 Cmdlet 後會發生的情況。 未執行 Cmdlet。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
執行 Cmdlet 之前先提示您確認。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
這個 Cmdlet 支援一般參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncPasswordWritebackPermissions
概要
初始化 Active Directory 樹系和網域,從 Microsoft Entra ID 提供密碼回寫。
SYNTAX
UserDomain
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
描述
Set-ADSyncPasswordWritebackPermissions 函式會將必要的權限提供給 AD 同步處理帳戶,包括下列各項:1.重設子系使用者物件上的密碼 2.對於所有子系使用者物件,其 lockoutTime 屬性的寫入屬性存取權 3.對於所有子系使用者物件,其 pwdLastSet 屬性的寫入屬性存取權
這些權限會套用到樹系中的所有網域。 您可以選擇性以 ADobjectDN 參數提供 DistinguishedName,只在該 AD 物件上設定這些權限 (包括繼承子物件)。
範例
範例 1
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
範例 2
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
範例 3
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
範例 4
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的名稱。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的網域。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的 DistinguishedName。
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
要設定權限的目標 AD 物件 DistinguishedName (選擇性)
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
選擇性參數,指出是否不應使用這些權限來更新 AdminSDHolder 容器
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
顯示執行 Cmdlet 後會發生的情況。 未執行 Cmdlet。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
執行 Cmdlet 之前先提示您確認。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
這個 Cmdlet 支援一般參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncRestrictedPermissions
概要
對任何 AD 保護的安全性群組都不包含的 AD 物件限定權限。 典型範例是由 Microsoft Entra Connect 自動建立的 AD Connect 帳戶 (MSOL)。 此帳戶擁有所有網域的複寫權限,但很容易遭到入侵,形同未受保護。
SYNTAX
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential>
[-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
描述
Set-ADSyncRestrictedPermissions 函式會對提供的帳戶限定權限。 要限定權限必須執行下列步驟:
停用指定物件上的繼承
將特定物件上所有的 ACE 移除,除了 SELF 特有的 ACE 之外。 關於 SELF,我們需要將預設權限維持不變。
指派這些特定權限:
類型 名稱 存取 套用至 允許 系統 完全控制 此物件 允許 Enterprise Admins 完全控制 此物件 允許 Domain Admins 完全控制 此物件 允許 系統管理員 完全控制 此物件 允許 Enterprise Domain Controllers 清單內容
讀取所有屬性
讀取權限此物件 允許 已驗證的使用者 清單內容
讀取所有屬性
讀取權限此物件
範例
範例 1
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN "CN=TestAccount1,CN=Users,DC=Contoso,DC=com" -Credential $(Get-Credential)
PARAMETERS
-ADConnectorAccountDN
需要限定其權限的 Active Directory 帳戶 DistinguishedName。 這通常是 MSOL_nnnnnnnnnn 帳戶,或在 AD 連接器中設定的自訂網域帳戶。
Type: String
Parameter Sets: (All)
Aliases:
Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Credential
具備限制 $ADConnectorAccountDN 帳戶權限之必要權限的系統管理員認證。 這通常是企業或網域系統管理員。 使用系統管理員帳戶的完整網域名稱以避免帳戶對應失敗。 範例:CONTOSO\admin
Type: PSCredential
Parameter Sets: (All)
Aliases:
Required: True
Position: 2
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-DisableCredentialValidation
使用 DisableCredentialValidation 時,如果 -Credential 中提供的認證在 AD 中無效,而且提供的帳戶擁有限制 ADConnectorAccountDN 帳戶權限的必要權限,就不會檢查函式。
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
顯示執行 Cmdlet 後會發生的情況。 未執行 Cmdlet。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
執行 Cmdlet 之前先提示您確認。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
這個 Cmdlet 支援一般參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncUnifiedGroupWritebackPermissions
概要
初始化 Microsoft Entra ID 樹系和網域,從 Azure AD 提供群組回寫。
SYNTAX
UserDomain
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
描述
Set-ADSyncUnifiedGroupWritebackPermissions 函式會將必要的權限提供給 AD 同步處理帳戶,包括下列各項:1.針對所有群組物件類型與 SubObjects,進行一般讀取/寫入、刪除、刪除樹系,以及建立\刪除子系
這些權限會套用到樹系中的所有網域。 您可以選擇性以 ADobjectDN 參數提供 DistinguishedName,只在該 AD 物件上設定這些權限 (包括繼承子物件)。 在此情況下,ADobjectDN 會是您要與 GroupWriteback 功能連結之容器的辨別名稱。
範例
範例 1
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
範例 2
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
範例 3
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
範例 4
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的名稱。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的網域。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Microsoft Entra Connect 同步用於或將用於管理目錄中物件的 Active Directory 帳戶的 DistinguishedName。
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
要設定權限的目標 AD 物件 DistinguishedName (選擇性)
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
選擇性參數,指出是否不應使用這些權限來更新 AdminSDHolder 容器
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
顯示執行 Cmdlet 後會發生的情況。 未執行 Cmdlet。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
執行 Cmdlet 之前先提示您確認。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
這個 Cmdlet 支援一般參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Show-ADSyncADObjectPermissions
概要
顯示所指定 AD 物件的權限。
SYNTAX
Show-ADSyncADObjectPermissions [-ADobjectDN] <String> [<CommonParameters>]
描述
此函式會傳回目前為 -ADobjectDN 參數中所提供之指定 AD 物件設定的所有 AD 權限。 ADobjectDN 必須以 DistinguishedName 格式提供。
範例
範例 1
Show-ADSyncADObjectPermissions -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADobjectDN
{{填寫 ADobjectDN 描述}}
Type: String
Parameter Sets: (All)
Aliases:
Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
這個 Cmdlet 支援一般參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。