Microsoft Entra Connect: Konfigurowanie uprawnień konta łącznika usług AD DS
Moduł programu PowerShell o nazwie ADSyncConfig.psm1 został wprowadzony z kompilacją 1.1.880.0 (wydaną w sierpniu 2018 r.), która zawiera kolekcję poleceń cmdlet ułatwiających skonfigurowanie odpowiednich uprawnień usługi Active Directory dla wdrożenia programu Microsoft Entra Connect.
Omówienie
Następujące polecenia cmdlet programu PowerShell mogą służyć do konfigurowania uprawnień usługi Active Directory konta łącznika usług AD DS dla każdej wybranej funkcji do włączenia w programie Microsoft Entra Connect. Aby zapobiec wszelkim problemom, należy przygotować uprawnienia usługi Active Directory z wyprzedzeniem za każdym razem, gdy chcesz zainstalować program Microsoft Entra Connect przy użyciu niestandardowego konta domeny w celu nawiązania połączenia z lasem. Ten moduł ADSyncConfig może również służyć do konfigurowania uprawnień po wdrożeniu programu Microsoft Entra Connect.
W przypadku instalacji programu Microsoft Entra Connect Express automatycznie wygenerowane konto (MSOL_nnnnnnnnnn) jest tworzone w usłudze Active Directory ze wszystkimi niezbędnymi uprawnieniami, więc nie ma potrzeby używania tego modułu ADSyncConfig, chyba że masz zablokowane dziedziczenie uprawnień dla jednostek organizacyjnych lub określonych obiektów usługi Active Directory, które chcesz zsynchronizować z identyfikatorem Entra firmy Microsoft.
Podsumowanie uprawnień
Poniższa tabela zawiera podsumowanie uprawnień wymaganych w obiektach usługi AD:
| Cecha | Uprawnienia |
|---|---|
| Funkcja ms-DS-ConsistencyGuid | Uprawnienia do odczytu i zapisu atrybutu ms-DS-ConsistencyGuid opisane w temacie Design Concepts — Using ms-DS-ConsistencyGuid as sourceAnchor (Pojęcia dotyczące projektowania — używanie atrybutu ms-DS-ConsistencyGuid jako sourceAnchor). |
| Synchronizacja skrótów haseł | |
| Wdrożenie hybrydowe programu Exchange | Uprawnienia do odczytu i zapisu do atrybutów udokumentowanych w funkcji zapisywania zwrotnego hybrydowego programu Exchange dla użytkowników, grup i kontaktów. |
| Folder publiczny poczty programu Exchange | Uprawnienia do odczytu do atrybutów udokumentowanych w folderze publicznym poczty programu Exchange dla folderów publicznych. |
| Zapisywanie zwrotne haseł | Uprawnienia do odczytu i zapisu do atrybutów opisanych w artykule Wprowadzenie do zarządzania hasłami dla użytkowników. |
| Zapisywanie zwrotne urządzeń | Uprawnienia do odczytu i zapisu do obiektów urządzeń i kontenerów udokumentowanych w zapisie zwrotnym urządzeń. |
| Zapisywanie zwrotne grup | Odczytywanie, tworzenie, aktualizowanie i usuwanie obiektów grup dla zsynchronizowanych grup usługi Office 365. |
Korzystanie z modułu ADSyncConfig programu PowerShell
Moduł ADSyncConfig wymaga narzędzi administracji zdalnej serwera (RSAT) dla usług AD DS , ponieważ zależy od modułu i narzędzi programu PowerShell usług AD DS. Aby zainstalować narzędzie RSAT dla usług AD DS, otwórz okno programu Windows PowerShell z poleceniem "Uruchom jako administrator" i wykonaj następujące czynności:
Install-WindowsFeature RSAT-AD-Tools
Uwaga
Możesz również skopiować plik C:\Program Files\Microsoft Entra Connect\AdSyncConfig\ADSyncConfig.psm1 do kontrolera domeny, który ma już zainstalowane narzędzie RSAT dla usług AD DS i użyj tego modułu programu PowerShell. Należy pamiętać, że niektóre polecenia cmdlet można uruchamiać tylko na komputerze hostujący program Microsoft Entra Connect.
Aby rozpocząć korzystanie z polecenia ADSyncConfig, należy załadować moduł w oknie programu Windows PowerShell:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Aby sprawdzić wszystkie polecenia cmdlet zawarte w tym module, możesz wpisać:
Get-Command -Module AdSyncConfig
Każde polecenie cmdlet ma te same parametry, aby wprowadzić konto łącznika usług AD DS i przełącznik AdminSDHolder. Aby określić konto łącznika usług AD DS, możesz podać nazwę konta i domenę lub tylko nazwę wyróżniającą konta (DN),
np. :
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
lub;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Pamiętaj, aby zastąpić <ADAccountName>wartości , <ADDomainName> i <ADAccountDN> odpowiednimi wartościami dla danego środowiska.
Jeśli chcesz zmodyfikować uprawnienia w kontenerze AdminSDHolder, użyj przełącznika -IncludeAdminSdHolders. Należy pamiętać, że nie jest to zalecane.
Domyślnie wszystkie ustawione polecenia cmdlet uprawnień będą próbowały ustawić uprawnienia usług AD DS w katalogu głównym każdej domeny w lesie, co oznacza, że użytkownik z uruchomioną sesją programu PowerShell wymaga uprawnień administratora domeny w każdej domenie w lesie. Ze względu na to wymaganie zaleca się użycie administratora przedsiębiorstwa z poziomu katalogu głównego lasu. Jeśli wdrożenie programu Microsoft Entra Connect ma wiele łączników usług AD DS, będzie wymagane uruchomienie tego samego polecenia cmdlet w każdym lesie, który ma łącznik usług AD DS.
Można również ustawić uprawnienia dla określonego obiektu jednostki organizacyjnej lub usług AD DS przy użyciu parametru -ADobjectDN , a następnie dn obiektu docelowego, w którym chcesz ustawić uprawnienia. W przypadku korzystania z docelowej nazwy ADobjectDN polecenie cmdlet ustawi uprawnienia tylko dla tego obiektu, a nie w katalogu głównym domeny lub kontenerze AdminSDHolder. Ten parametr może być przydatny, gdy niektóre jednostki organizacyjne lub obiekty usług AD DS, które mają wyłączone dziedziczenie uprawnień (zobacz Lokalizowanie obiektów usług AD DS z wyłączonym dziedziczeniem uprawnień)
Wyjątki od tych typowych parametrów to Set-ADSyncRestrictedPermissions polecenie cmdlet, które służy do ustawiania uprawnień na koncie łącznika usług AD DS, a Set-ADSyncPasswordHashSyncPermissions polecenie cmdlet, ponieważ uprawnienia wymagane do synchronizacji skrótów haseł są ustawiane tylko w katalogu głównym domeny, dlatego to polecenie cmdlet nie zawiera -ObjectDN parametrów lub -IncludeAdminSdHolders .
Określanie konta łącznika usług AD DS
Jeśli program Microsoft Entra Connect jest już zainstalowany i chcesz sprawdzić, jakie konto łącznika usług AD DS jest obecnie używane przez program Microsoft Entra Connect, możesz wykonać polecenie cmdlet:
Get-ADSyncADConnectorAccount
Lokalizowanie obiektów usług AD DS z wyłączonym dziedziczeniem uprawnień
Jeśli chcesz sprawdzić, czy istnieje jakikolwiek obiekt usług AD DS z wyłączonym dziedziczeniem uprawnień, możesz uruchomić polecenie:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
Domyślnie to polecenie cmdlet będzie szukać tylko jednostek organizacyjnych z wyłączonym dziedziczeniem, ale można określić inne klasy obiektów usług AD DS w -ObjectClass parametrze lub użyć "*" dla wszystkich klas obiektów w następujący sposób:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Wyświetlanie uprawnień usług AD DS obiektu
Możesz użyć poniższego polecenia cmdlet, aby wyświetlić listę uprawnień aktualnie ustawionych w obiekcie usługi Active Directory, podając parametr DistinguishedName:
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
Azure AD Connect: konfigurowanie konta łącznika usługi AD DS
Konfigurowanie podstawowych uprawnień tylko do odczytu
Aby ustawić podstawowe uprawnienia tylko do odczytu dla konta łącznika usług AD DS, gdy nie jest używana żadna funkcja Microsoft Entra Connect, uruchom polecenie:
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
lub;
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Access | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto łącznika usług AD DS | Odczytywanie wszystkich właściwości | Obiekty urządzenia podrzędnego |
| Zezwalaj | Konto łącznika usług AD DS | Odczytywanie wszystkich właściwości | Obiekty InetOrgPerson obiektów potomnych |
| Zezwalaj | Konto łącznika usług AD DS | Odczytywanie wszystkich właściwości | Obiekty komputera podrzędnego |
| Zezwalaj | Konto łącznika usług AD DS | Odczytywanie wszystkich właściwości | Obiekty podrzędne foreignSecurityPrincipal |
| Zezwalaj | Konto łącznika usług AD DS | Odczytywanie wszystkich właściwości | Obiekty grupy podrzędnej |
| Zezwalaj | Konto łącznika usług AD DS | Odczytywanie wszystkich właściwości | Obiekty użytkownika podrzędnego |
| Zezwalaj | Konto łącznika usług AD DS | Odczytywanie wszystkich właściwości | Obiekty kontaktów potomnych |
| Zezwalaj | Konto łącznika usług AD DS | Replikowanie zmian katalogu | Ten obiekt (tylko katalog główny domeny) |
Konfigurowanie uprawnień MS-DS-Consistency-Guid
Aby ustawić uprawnienia dla konta łącznika usług AD DS podczas korzystania z atrybutu ms-Ds-Consistency-Guid jako kotwicy źródłowej (znanej również jako "Zezwalaj platformie Azure na zarządzanie kotwicą źródłową dla mnie"), uruchom polecenie:
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
lub;
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Access | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto łącznika usług AD DS | Właściwość Odczyt/Zapis | Obiekty użytkownika podrzędnego |
Uprawnienia do synchronizacji skrótów haseł
Aby ustawić uprawnienia dla konta łącznika usług AD DS podczas korzystania z synchronizacji skrótów haseł, uruchom polecenie:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
lub;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Access | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto łącznika usług AD DS | Replikowanie zmian katalogu | Ten obiekt (tylko katalog główny domeny) |
| Zezwalaj | Konto łącznika usług AD DS | Replikowanie wszystkich zmian katalogu | Ten obiekt (tylko katalog główny domeny) |
Uprawnienia do zapisywania zwrotnego haseł
Aby ustawić uprawnienia dla konta łącznika usług AD DS podczas korzystania z zapisywania zwrotnego haseł, uruchom polecenie:
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
lub;
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Access | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto łącznika usług AD DS | Resetuj hasło | Obiekty użytkownika podrzędnego |
| Zezwalaj | Konto łącznika usług AD DS | Zapis właściwości lockoutTime | Obiekty użytkownika podrzędnego |
| Zezwalaj | Konto łącznika usług AD DS | Write, właściwość pwdLastSet | Obiekty użytkownika podrzędnego |
Uprawnienia do zapisywania zwrotnego grup
Aby ustawić uprawnienia dla konta łącznika usług AD DS podczas korzystania z zapisywania zwrotnego grup, uruchom polecenie:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
lub;
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Access | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto łącznika usług AD DS | Ogólny odczyt/zapis | Wszystkie atrybuty grupy typów obiektów i podobiektów |
| Zezwalaj | Konto łącznika usług AD DS | Tworzenie/usuwanie obiektu podrzędnego | Wszystkie atrybuty grupy typów obiektów i podobiektów |
| Zezwalaj | Konto łącznika usług AD DS | Usuwanie/usuwanie obiektów drzewa | Wszystkie atrybuty grupy typów obiektów i podobiektów |
Uprawnienia do wdrożenia hybrydowego programu Exchange
Aby ustawić uprawnienia dla konta łącznika usług AD DS podczas korzystania z wdrożenia hybrydowego programu Exchange, uruchom polecenie:
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
lub;
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Access | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto łącznika usług AD DS | Odczytywanie/zapisywanie wszystkich właściwości | Obiekty użytkownika podrzędnego |
| Zezwalaj | Konto łącznika usług AD DS | Odczytywanie/zapisywanie wszystkich właściwości | Obiekty InetOrgPerson obiektów potomnych |
| Zezwalaj | Konto łącznika usług AD DS | Odczytywanie/zapisywanie wszystkich właściwości | Obiekty grupy podrzędnej |
| Zezwalaj | Konto łącznika usług AD DS | Odczytywanie/zapisywanie wszystkich właściwości | Obiekty kontaktów potomnych |
Uprawnienia do folderów publicznych poczty programu Exchange
Aby ustawić uprawnienia dla konta łącznika usług AD DS w przypadku korzystania z funkcji Folderów publicznych poczty programu Exchange, uruchom polecenie:
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
lub;
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Access | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto łącznika usług AD DS | Odczytywanie wszystkich właściwości | Obiekty PublicFolder obiektów podrzędnych |
Ograniczanie uprawnień na koncie łącznika usług AD DS
Ten skrypt programu PowerShell zaostrzy uprawnienia dla konta łącznika usługi AD podanego jako parametr. Zaostrzenie uprawnień obejmuje następujące kroki:
Wyłączanie dziedziczenia dla określonego obiektu
Usuń wszystkie acEs dla określonego obiektu, z wyjątkiem ACL specyficznych dla SIEBIE, ponieważ chcemy zachować domyślne uprawnienia nienaruszone, jeśli chodzi o SELF.
Parametr -ADConnectorAccountDN jest kontem usługi AD, którego uprawnienia należy zaostrzyć. Zazwyczaj jest to konto domeny MSOL_nnnnnnnnnnnn skonfigurowane w łączniku usług AD DS (zobacz Określanie konta łącznika usług AD DS). Parametr -Credential jest niezbędny do określenia konta administratora, które ma niezbędne uprawnienia, aby ograniczyć uprawnienia usługi Active Directory do docelowego obiektu usługi AD (to konto musi być inne niż konto ADConnectorAccountDN). Zazwyczaj jest to administrator przedsiębiorstwa lub domeny.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Na przykład:
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
To polecenie cmdlet ustawi następujące uprawnienia:
| Type | Nazwisko | Access | Dotyczy |
|---|---|---|---|
| Zezwalaj | SYSTEM | Pełna kontrola | Ten obiekt |
| Zezwalaj | Enterprise Admins | Pełna kontrola | Ten obiekt |
| Zezwalaj | Domain Admins | Pełna kontrola | Ten obiekt |
| Zezwalaj | Administratorzy | Pełna kontrola | Ten obiekt |
| Zezwalaj | Kontrolery domeny przedsiębiorstwa | Zawartość listy | Ten obiekt |
| Zezwalaj | Kontrolery domeny przedsiębiorstwa | Odczytywanie wszystkich właściwości | Ten obiekt |
| Zezwalaj | Kontrolery domeny przedsiębiorstwa | Uprawnienia do odczytu | Ten obiekt |
| Zezwalaj | Uwierzytelnieni użytkownicy | Zawartość listy | Ten obiekt |
| Zezwalaj | Uwierzytelnieni użytkownicy | Odczytywanie wszystkich właściwości | Ten obiekt |
| Zezwalaj | Uwierzytelnieni użytkownicy | Uprawnienia do odczytu | Ten obiekt |