Microsoft Entra Anslut: Konfigurera BEHÖRIGHETer för AD DS-Anslut eller-konto

PowerShell-modulen med namnet ADSyncConfig.psm1 introducerades med version 1.1.880.0 (släpptes i augusti 2018) som innehåller en samling cmdletar som hjälper dig att konfigurera rätt Active Directory-behörigheter för din Microsoft Entra-Anslut distribution.

Översikt

Följande PowerShell-cmdletar kan användas för att konfigurera Active Directory-behörigheter för AD DS-Anslut eller-kontot för varje funktion som du väljer att aktivera i Microsoft Entra Anslut. För att förhindra problem bör du förbereda Active Directory-behörigheter i förväg när du vill installera Microsoft Entra Anslut med ett anpassat domänkonto för att ansluta till din skog. Den här ADSyncConfig-modulen kan också användas för att konfigurera behörigheter när Microsoft Entra-Anslut har distribuerats.

För Microsoft Entra Anslut Express-installation skapas ett automatiskt genererat konto (MSOL_nnnnnnnnnn) i Active Directory med alla nödvändiga behörigheter, så du behöver inte använda den här ADSyncConfig-modulen om du inte har blockerat arv av behörigheter på organisationsenheter eller på specifika Active Directory-objekt som du vill synkronisera med Microsoft Entra-ID.

Sammanfattning av behörigheter

Följande tabell innehåller en sammanfattning av de behörigheter som krävs för AD-objekt:

Använda ADSyncConfig PowerShell-modulen

ADSyncConfig-modulen kräver RSAT (Remote Server Administration Tools) för AD DS eftersom den är beroende av AD DS PowerShell-modulen och verktygen. Om du vill installera RSAT för AD DS öppnar du ett Windows PowerShell-fönster med "Kör som administratör" och kör:

Install-WindowsFeature RSAT-AD-Tools 

Om du vill börja använda ADSyncConfig måste du läsa in modulen i ett Windows PowerShell-fönster:

Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 

Om du vill kontrollera alla cmdletar som ingår i den här modulen kan du skriva:

Get-Command -Module AdSyncConfig  

Varje cmdlet har samma parametrar för att mata in AD DS-Anslut eller-kontot och en AdminSDHolder-växel. Om du vill ange ditt AD DS-Anslut eller-konto kan du ange kontonamnet och domänen, eller bara kontot Unikt namn (DN).

E.g.:

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>

Eller,

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>

Ersätt <ADAccountName>, <ADDomainName> och <ADAccountDN> med rätt värden för din miljö.

Om du vill ändra behörigheter för containern AdminSDHolder använder du växeln -IncludeAdminSdHolders. Observera att detta inte rekommenderas.

Som standard försöker alla cmdletar för uppsättningsbehörigheter ange AD DS-behörigheter på roten för varje domän i skogen, vilket innebär att användaren som kör PowerShell-sessionen kräver domänadministratörsbehörighet för varje domän i skogen. På grund av det här kravet rekommenderar vi att du använder en företagsadministratör från skogsroten. Om distributionen av Microsoft Entra Anslut har flera AD DS-Anslut eller måste du köra samma cmdlet på varje skog som har en AD DS-Anslut eller.

Du kan också ange behörigheter för en specifik organisationsenhet eller AD DS-objekt med hjälp av parametern -ADobjectDN följt av DN för målobjektet där du vill ange behörigheter. När du använder ett ADobjectDN-mål anger cmdleten endast behörigheter för det här objektet och inte på domänroten eller AdminSDHolder-containern. Den här parametern kan vara användbar när du har vissa organisationsenheter eller AD DS-objekt som har behörighetsarv inaktiverat (se Hitta AD DS-objekt med behörighetsarv inaktiverat)

Undantag från dessa vanliga parametrar är cmdleten Set-ADSyncRestrictedPermissions som används för att ange behörigheterna för själva AD DS-Anslut eller-kontot, och cmdleten Set-ADSyncPasswordHashSyncPermissions eftersom de behörigheter som krävs för Synkronisering av lösenordshash endast anges i domänroten, därför innehåller denna cmdlet inte parametrarna -ObjectDN eller -IncludeAdminSdHolders .

Fastställa ditt AD DS-Anslut eller-konto

Om Microsoft Entra Anslut redan är installerat och du vill kontrollera vilket AD DS-Anslut eller-konto som för närvarande används av Microsoft Entra Anslut kan du köra cmdleten:

Get-ADSyncADConnectorAccount 

Leta upp AD DS-objekt med behörighetsarv inaktiverat

Om du vill kontrollera om det finns något AD DS-objekt med behörighetsarv inaktiverat kan du köra:

Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' 

Som standard letar den här cmdleten bara efter organisationsenheter med inaktiverat arv, men du kan ange andra AD DS-objektklasser i -ObjectClass parametern eller använda *för alla objektklasser enligt följande:

Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass * 

Visa AD DS-behörigheter för ett objekt

Du kan använda cmdleten nedan för att visa listan över behörigheter som för närvarande har angetts för ett Active Directory-objekt genom att ange dess DistinguishedName:

Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>' 

Konfigurera behörigheter för AD DS Connector

Konfigurera grundläggande skrivskyddade behörigheter

Om du vill ange grundläggande skrivskyddade behörigheter för AD DS-Anslut eller-kontot när du inte använder någon Microsoft Entra-Anslut-funktion kör du:

Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 

Eller;

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 

Den här cmdleten anger följande behörigheter:

Konfigurera MS-DS-Consistency-Guid-behörigheter

Om du vill ange behörigheter för AD DS-Anslut eller-kontot när du använder attributet ms-Ds-Consistency-Guid som källankare (kallas även "Låt Azure hantera källankaret för mig" kör du:

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 

Eller;

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 

Den här cmdleten anger följande behörigheter:

Behörigheter för synkronisering av lösenordshash

Om du vill ange behörigheter för AD DS-Anslut eller-kontot när du använder synkronisering av lösenordshash kör du:

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>] 

Eller;

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>] 

Den här cmdleten anger följande behörigheter:

Behörigheter för tillbakaskrivning av lösenord

Om du vill ange behörigheter för AD DS-Anslut eller-kontot när du använder tillbakaskrivning av lösenord kör du:

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 

Eller;

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 

Den här cmdleten anger följande behörigheter:

Behörigheter för tillbakaskrivning av grupp

Om du vill ange behörigheter för AD DS-Anslut eller-kontot när du använder Tillbakaskrivning av grupp kör du:

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 

Eller;

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]

Den här cmdleten anger följande behörigheter:

Behörigheter för Exchange Hybrid-distribution

Om du vill ange behörigheter för AD DS-Anslut eller-kontot när du använder Exchange Hybrid-distribution kör du:

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 

Eller;

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 

Den här cmdleten anger följande behörigheter:

Behörigheter för gemensamma Exchange Mail-mappar

Om du vill ange behörigheter för AD DS-Anslut eller-kontot när du använder funktionen Gemensamma Mappar för Exchange Mail kör du:

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 

Eller;

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 

Den här cmdleten anger följande behörigheter:

Begränsa behörigheter för AD DS-Anslut eller-kontot

Det här PowerShell-skriptet skärper behörigheterna för AD Anslut eller-kontot som tillhandahålls som en parameter. För att skärpa behörigheterna ingår följande steg:

• Inaktivera arv för det angivna objektet

• Ta bort alla ACL:er för det specifika objektet, förutom ACL:er som är specifika för SELF eftersom vi vill behålla standardbehörigheterna intakta när det gäller SELF.

  Parametern -AD Anslut orAccountDN är det AD-konto vars behörigheter måste skärpas. Detta är vanligtvis det MSOL_nnnnnnnnnnnn domänkonto som har konfigurerats i AD DS-Anslut eller (se Fastställa ditt AD DS-Anslut eller-konto). Parametern -Credential är nödvändig för att ange det administratörskonto som har de behörigheter som krävs för att begränsa Active Directory-behörigheter för ad-målobjektet (det här kontot måste skilja sig från AD Anslut orAccountDN-kontot). Detta är vanligtvis företags- eller domänadministratören.

Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>] 

Till exempel:

$credential = Get-Credential 
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential  

Den här cmdleten anger följande behörigheter:

Nästa steg

• Microsoft Entra Connect: Konton och behörigheter
• Express-installation
• Anpassad installation
• ADSyncConfig-referens