Microsoft Entra Connect: ADSyncConfig PowerShell リファレンス

[アーティクル]
11/06/2023

次のドキュメントには、Microsoft Entra Connect に含まれる ADSyncConfig.psm1 PowerShell モジュールの参照情報が記載されています。

Get-ADSyncADConnectorAccount

概要

各 AD コネクタに構成されているアカウント名とドメインを取得します

SYNTAX

Get-ADSyncADConnectorAccount

説明

この関数では、Microsoft Entra コネクトにある 'Get-ADSyncConnector' コマンドレットを使用し、接続パラメーターから AD コネクタアカウントを示すテーブル取得します。

例

例 1

Get-ADSyncADConnectorAccount

Get-ADSyncObjectsWithInheritanceDisabled

概要

アクセス許可の継承が無効になっている AD オブジェクトを取得します

SYNTAX

Get-ADSyncObjectsWithInheritanceDisabled [-SearchBase] <String> [[-ObjectClass] <String>] [<CommonParameters>]

Description

AD で SearchBase パラメーターから開始し検索を実行し、ACL の継承が現在無効になっていて ObjectClass パラメーターによってフィルター処理されているオブジェクトをすべて返します。

例

例 1

'Contoso' ドメインで継承が無効になっているオブジェクトを検索します (既定では 'organizationalUnit' オブジェクトのみが返されます)

Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso'

例 2

'Contoso' ドメインで継承が無効になっている 'user' オブジェクトを検索します

Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso' -ObjectClass 'user'

例 3

OU 内で継承が無効になっているすべての種類のオブジェクトを検索します

Get-ADSyncObjectsWithInheritanceDisabled -SearchBase OU=AzureAD,DC=Contoso,DC=com -ObjectClass '*'

PARAMETERS

-SearchBase

AD ドメインの DistinguishedName または FQDN が可能な LDAP クエリの SearchBase

Type: String
Parameter Sets: (All)
Aliases:

Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ObjectClass

'*' (すべてのオブジェクトクラス)、'user'、group'、'container' など、検索するオブジェクトのクラス。既定で、この関数は 'organizationalUnit' オブジェクトクラスを検索します。

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: 2
Default value: OrganizationalUnit
Accept pipeline input: False
Accept wildcard characters: False

共通パラメーター

このコマンドレットは、一般的なパラメーターをサポートしています。-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction、-WarningVariable です。詳細については、「_CommonParameters について (https://go.microsoft.com/fwlink/?LinkID=113216)」を参照してください。

Set-ADSyncBasicReadPermissions

概要

指定されたコネクターアカウントに対して、ご使用の Active Directory フォレストとドメインを読み取るためのアクセス権を付与します。

SYNTAX

UserDomain

Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
 [-WhatIf] [-Confirm] [<CommonParameters>]

Description

Set-ADSyncBasicReadPermissions 関数は、必要なアクセス許可を AD 同期アカウントに付与します。これには次のものが含まれます。1.すべての子孫コンピューターオブジェクトのすべての属性に対する読み取りプロパティアクセス 2.すべての子孫デバイスオブジェクトのすべての属性に対する読み取りプロパティアクセス 3. すべての子孫 foreignsecurityprincipal オブジェクトのすべての属性に対する読み取りプロパティアクセス 5. すべての子孫ユーザーオブジェクトのすべての属性に対する読み取りプロパティアクセス 6.すべての子孫 inetorgperson オブジェクトのすべての属性に対する読み取りプロパティアクセス 7。すべての子孫グループオブジェクトのすべての属性に対する読み取りプロパティアクセス 8.すべての子孫連絡先オブジェクトのすべての属性に対する読み取りプロパティアクセス

これらのアクセス許可は、フォレスト内のすべてのドメインに適用されます。必要に応じて ADobjectDN パラメーターに DistinguishedName を指定し、これらのアクセス許可をその AD オブジェクトのみに設定できます (サブオブジェクトへの継承を含む)。

例

例 1

Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

例 2

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

例 3

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

例 4

Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

ディレクトリ内のオブジェクトを管理するために Microsoft Entra Connect Sync によって使用される、または使用される可能性のある Active Directory アカウントの名前。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

ディレクトリ内のオブジェクトを管理するために Microsoft Entra Connect Sync によって使用される、または使用される可能性のある Active Directory アカウントのドメイン。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

ディレクトリ内のオブジェクトを管理するために Microsoft Entra Connect Sync によって使用される、または使用される可能性のある Active Directory アカウントの DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

アクセス許可を設定するターゲットの AD オブジェクトの DistinguishedName (省略可能)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

これらのアクセス許可で AdminSDHolder コンテナーを更新しないことを示す省略可能なパラメーター

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

コマンドレットの実行時に発生する内容を示します。このコマンドレットは実行されません。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

コマンドレットの実行前に確認を求めるメッセージが表示されます。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

共通パラメーター

Set-ADSyncExchangeHybridPermissions

概要

指定されたコネクターアカウントに対して、ご使用の Active Directory フォレストとドメインで利用される Exchange ハイブリッド機能のためのアクセス権を付与します。

SYNTAX

UserDomain

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
 [-WhatIf] [-Confirm] [<CommonParameters>]

Description

Set-ADSyncExchangeHybridPermissions 関数は、AD 同期アカウントに必要なアクセス許可を付与します。これには、次のものが含まれます。1.すべての子孫ユーザーオブジェクトのすべての属性に対する読み取り/書き込みプロパティアクセス 2.すべての子孫 inetorgperson オブジェクトのすべての属性に対する読み取り/書き込みプロパティアクセス 3.すべての子孫グループオブジェクトのすべての属性に対する読み取り/書き込みプロパティアクセス 4.すべての子孫連絡先オブジェクトのすべての属性に対する読み取り/書き込みプロパティアクセス

例

例 1

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

例 2

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

例 3

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

例 4

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

アクセス許可を設定するターゲットの AD オブジェクトの DistinguishedName (省略可能)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

これらのアクセス許可で AdminSDHolder コンテナーを更新しないことを示す省略可能なパラメーター

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

コマンドレットの実行時に発生する内容を示します。このコマンドレットは実行されません。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

コマンドレットの実行前に確認を求めるメッセージが表示されます。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

共通パラメーター

Set-ADSyncExchangeMailPublicFolderPermissions

概要

指定されたコネクターアカウントに対して、ご使用の Active Directory フォレストとドメインで利用される Exchange メールのパブリックフォルダー機能のためのアクセス権を付与します。

SYNTAX

UserDomain

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String>
 -ADConnectorAccountDomain <String> [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm]
 [<CommonParameters>]

DistinguishedName

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

Description

Set-ADSyncExchangeMailPublicFolderPermissions 関数は、必要なアクセス許可を AD 同期アカウントに付与します。これには以下が含まれます。1. すべての子孫 publicfolder オブジェクトのすべての属性に対する読み取りプロパティアクセス

例

例 1

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

例 2

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

例 3

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

例 4

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

アクセス許可を設定するターゲットの AD オブジェクトの DistinguishedName (省略可能)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

これらのアクセス許可で AdminSDHolder コンテナーを更新しないことを示す省略可能なパラメーター

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

コマンドレットの実行時に発生する内容を示します。このコマンドレットは実行されません。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

コマンドレットの実行前に確認を求めるメッセージが表示されます。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

共通パラメーター

Set-ADSyncMsDsConsistencyGuidPermissions

概要

指定されたコネクターアカウントに対して、ご使用の Active Directory フォレストとドメインで利用される mS-DS-ConsistencyGuid 機能のためのアクセス権を付与します。

SYNTAX

UserDomain

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

Description

Set-ADSyncMsDsConsistencyGuidPermissions 関数は、AD 同期アカウントに必要なアクセス許可を付与します。これには、以下が含まれます。1. すべての子孫ユーザーオブジェクトの mS-DS-ConsistencyGuid 属性への読み取り/書き込みプロパティアクセス

例

例 1

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

例 2

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

例 3

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

例 4

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

アクセス許可を設定するターゲットの AD オブジェクトの DistinguishedName (省略可能)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

これらのアクセス許可で AdminSDHolder コンテナーを更新しないことを示す省略可能なパラメーター

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

コマンドレットの実行時に発生する内容を示します。このコマンドレットは実行されません。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

コマンドレットの実行前に確認を求めるメッセージが表示されます。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

共通パラメーター

Set-ADSyncPasswordHashSyncPermissions

概要

指定されたコネクターアカウントに対して、ご使用の Active Directory フォレストとドメインで利用されるパスワードハッシュの同期機能のためのアクセス権を付与します。

SYNTAX

UserDomain

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [-WhatIf] [-Confirm] [<CommonParameters>]

Description

Set-ADSyncPasswordHashSyncPermissions 関数は、必要なアクセス許可を AD 同期アカウントに付与します。これには以下が含まれます。1. ディレクトリの変更のレプリケート 2.ディレクトリの変更をすべてレプリケートする

これらのアクセス許可は、フォレストのすべてのドメインに付与されます。

例

例 1

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

例 2

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

ディレクトリ内のオブジェクトを管理するために Microsoft Entra Connect Sync によって使用される Active Directory アカウントの名前。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

ディレクトリ内のオブジェクトを管理するために Microsoft Entra Connect Sync によって使用される Active Directory アカウントのドメイン。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

ディレクトリ内のオブジェクトを管理するために Microsoft Entra Connect Sync によって使用される Active Directory アカウントの DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

コマンドレットの実行時に発生する内容を示します。このコマンドレットは実行されません。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

コマンドレットの実行前に確認を求めるメッセージが表示されます。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

共通パラメーター

Set-ADSyncPasswordWritebackPermissions

概要

Microsoft Entra ID からパスワードの書き戻しを行うために、Active Directory フォレストとドメインを初期化します。

SYNTAX

UserDomain

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

Description

Set-ADSyncPasswordWritebackPermissions 関数は、AD 同期アカウントに必要なアクセス許可を付与します。これには、次のものが含まれます。1.子孫ユーザーオブジェクトのパスワードのリセット 2.すべての子孫ユーザーオブジェクトの lockoutTime 属性に対する書き込みプロパティアクセス 3.すべての子孫ユーザーオブジェクトの pwdLastSet 属性に対する書き込みプロパティアクセス

例

例 1

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

例 2

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

例 3

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

例 4

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

アクセス許可を設定するターゲットの AD オブジェクトの DistinguishedName (省略可能)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

これらのアクセス許可で AdminSDHolder コンテナーを更新しないことを示す省略可能なパラメーター

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

コマンドレットの実行時に発生する内容を示します。このコマンドレットは実行されません。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

コマンドレットの実行前に確認を求めるメッセージが表示されます。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

共通パラメーター

Set-ADSyncRestrictedPermissions

概要

AD で保護されているいかなるセキュリティグループにも含まれない AD オブジェクトのアクセス許可のセキュリティを強化します。典型的な例は、自動的に Microsoft Entra Connect によって作成される AD Connect アカウント (MSOL) です。このアカウントは、すべてのドメインへのレプリケートのアクセス許可を持ちます。しかし、保護されていないので、簡単に侵害される可能性があります。

SYNTAX

Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential>
 [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]

Description

Set-ADSyncRestrictedPermissions 関数は、提供されているアカウントのアクセス許可のセキュリティを強化します。アクセス許可のセキュリティの強化には、次の手順が含まれます。

指定したオブジェクトの継承を無効にします
SELF に固有の ACE を除き、特定のオブジェクトのすべての ACE を削除します。 SELF については、既定のアクセス許可を維持します。

以下の特定のアクセス許可を割り当てます。

Type	名前	アクセス	適用対象
Allow	SYSTEM	フルコントロール	このオブジェクト
Allow	Enterprise Admins	フルコントロール	このオブジェクト
Allow	Domain Admins	フルコントロール	このオブジェクト
Allow	管理者	フルコントロール	このオブジェクト
Allow	Enterprise Domain Controllers	コンテンツの一覧すべてのプロパティの読み取り読み取りのアクセス許可	このオブジェクト
Allow	Authenticated Users	コンテンツの一覧すべてのプロパティの読み取り読み取りのアクセス許可	このオブジェクト

例

例 1

Set-ADSyncRestrictedPermissions -ADConnectorAccountDN "CN=TestAccount1,CN=Users,DC=Contoso,DC=com" -Credential $(Get-Credential)

PARAMETERS

-ADConnectorAccountDN

アクセス許可のセキュリティを強化する必要がある Active Directory アカウントの DistinguishedName。これは通常は、MSOL_nnnnnnnnnn アカウントであるか、AD コネクタに構成されているカスタムドメインアカウントです。

Type: String
Parameter Sets: (All)
Aliases:

Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Credential

ADConnectorAccountDN アカウントに対するアクセス許可を制限するために必要な権限を持つ管理者資格情報。これは通常、企業またはドメインの管理者です。アカウント参照の失敗を回避するには、管理者アカウントの完全修飾ドメイン名を使用します。例:CONTOSO\admin

Type: PSCredential
Parameter Sets: (All)
Aliases:

Required: True
Position: 2
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-DisableCredentialValidation

DisableCredentialValidation を使用すると、-Credential で提供されている資格情報が AD では有効であるか、また提供されたアカウントに ADConnectorAccountDN アカウントのアクセス許可を制限するのに必要なアクセス許可があるかが関数によって確認されません。

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

コマンドレットの実行時に発生する内容を示します。このコマンドレットは実行されません。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

コマンドレットの実行前に確認を求めるメッセージが表示されます。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

共通パラメーター

Set-ADSyncUnifiedGroupWritebackPermissions

概要

Microsoft Entra ID からグループの書き戻しを行うために、Active Directory フォレストとドメインを初期化します。

SYNTAX

UserDomain

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

Description

Set-ADSyncUnifiedGroupWritebackPermissions 関数は、必要なアクセス許可を AD 同期アカウントに付与します。これには、次のものが含まれます。1.すべてのグループオブジェクトの種類とサブオブジェクトに対する汎用の読み取り/書き込み、削除、ツリーの削除、子の作成と削除

これらのアクセス許可は、フォレスト内のすべてのドメインに適用されます。必要に応じて ADobjectDN パラメーターに DistinguishedName を指定し、これらのアクセス許可をその AD オブジェクトのみに設定できます (サブオブジェクトへの継承を含む)。この場合、GroupWriteback 機能とリンクしたいコンテナーの識別名は ADobjectDN になります。

例

例 1

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

例 2

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

例 3

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

例 4

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

アクセス許可を設定するターゲットの AD オブジェクトの DistinguishedName (省略可能)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

これらのアクセス許可で AdminSDHolder コンテナーを更新しないことを示す省略可能なパラメーター

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

コマンドレットの実行時に発生する内容を示します。このコマンドレットは実行されません。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

コマンドレットの実行前に確認を求めるメッセージが表示されます。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

共通パラメーター

Show-ADSyncADObjectPermissions

概要

指定した AD オブジェクトのアクセス許可を示します。

SYNTAX

Show-ADSyncADObjectPermissions [-ADobjectDN] <String> [<CommonParameters>]

Description

この関数では、パラメーター -ADobjectDN で提供されている特定の AD オブジェクトに現在設定されている AD アクセス許可をすべて返します。 ADobjectDN は、DistinguishedName の形式で返される必要があります。

例

例 1

Show-ADSyncADObjectPermissions -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADobjectDN

Type: String
Parameter Sets: (All)
Aliases:

Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

次の方法で共有

Microsoft Entra Connect: ADSyncConfig PowerShell リファレンス

Get-ADSyncADConnectorAccount

概要

SYNTAX

説明

例

例 1

Get-ADSyncObjectsWithInheritanceDisabled

概要

SYNTAX

Description

例

例 1

例 2

例 3

PARAMETERS

-SearchBase

-ObjectClass

共通パラメーター

Set-ADSyncBasicReadPermissions

概要

SYNTAX

UserDomain

DistinguishedName

Description

例

例 1

例 2

例 3

例 4

PARAMETERS

-ADConnectorAccountName

-ADConnectorAccountDomain

-ADConnectorAccountDN

-ADobjectDN

-SkipAdminSdHolders

-WhatIf

-Confirm

共通パラメーター

Set-ADSyncExchangeHybridPermissions

概要

SYNTAX

UserDomain

DistinguishedName

Description

例

例 1

例 2

例 3

例 4

PARAMETERS

-ADConnectorAccountName

-ADConnectorAccountDomain

-ADConnectorAccountDN

-ADobjectDN

-SkipAdminSdHolders

-WhatIf

-Confirm

共通パラメーター

Set-ADSyncExchangeMailPublicFolderPermissions

概要

SYNTAX

UserDomain

DistinguishedName

Description

例

例 1

例 2

例 3

例 4

PARAMETERS

-ADConnectorAccountName

-ADConnectorAccountDomain

-ADConnectorAccountDN

-ADobjectDN

-SkipAdminSdHolders

-WhatIf

-Confirm

共通パラメーター