Microsoft Entra Connect: Справочник по ADSyncConfig PowerShell
В следующей документации приведены справочные сведения для модуля PowerShell, включенного ADSyncConfig.psm1 в Microsoft Entra Connect.
Get-ADSyncADConnectorAccount
Краткий обзор
Возвращает имя учетной записи и домен, настроенные в каждом соединителе AD.
SYNTAX
Get-ADSyncADConnectorAccount
ОПИСАНИЕ
Эта функция использует командлет Get-ADSyncConnector, который присутствует в Microsoft Entra Connect, чтобы получить из параметров подключения таблицу с учетной записью соединителей AD.
Примеры
Пример 1
Get-ADSyncADConnectorAccount
Get-ADSyncObjectsWithInheritanceDisabled
Краткий обзор
Получает объекты AD DS с отключенным наследованием разрешений.
SYNTAX
Get-ADSyncObjectsWithInheritanceDisabled [-SearchBase] <String> [[-ObjectClass] <String>] [<CommonParameters>]
ОПИСАНИЕ
Выполняет поиск в AD, начиная с параметра SearchBase, и возвращает все объекты, отфильтрованные по параметру ObjectClass, у которых в настоящее время отключено наследование списка управления доступом.
Примеры
Пример 1
Поиск объектов с отключенным наследованием в домене Contoso (по умолчанию возвращаются только объекты organizationalUnit)
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso'
Пример 2
Поиск объектов user с отключенным наследованием в домене Contoso
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso' -ObjectClass 'user'
Пример 3
Поиск всех типов объектов с отключенным наследованием в подразделении
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase OU=AzureAD,DC=Contoso,DC=com -ObjectClass '*'
PARAMETERS
-SearchBase
Значение SearchBase для запроса LDAP. Это может быть различающееся имя домена AD или полное доменное имя.
Type: String
Parameter Sets: (All)
Aliases:
Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ObjectClass
Класс объектов для поиска, которые могут быть "*" (для любого класса объектов), "user", "group", "container" и т. д. По умолчанию эта функция выполняет поиск класса объектов organizationalUnit.
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: 2
Default value: OrganizationalUnit
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье Об общих параметрах (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncBasicReadPermissions
Краткий обзор
Инициализация леса и домена Active Directory для основных разрешений на чтение.
SYNTAX
UserDomain
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
Различающееся имя.
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
[-WhatIf] [-Confirm] [<CommonParameters>]
ОПИСАНИЕ
Функция Set-ADSyncBasicReadPermissions предоставит учетной записи синхронизации AD необходимые разрешения, в том числе следующие: 1. Чтение свойств всех атрибутов для всех объектов-потомков computer. 2. Чтение свойств всех атрибутов для всех объектов-потомков device. 3. Чтение свойств всех атрибутов для всех объектов-потомков foreignsecurityprincipal. 5. Чтение свойств всех атрибутов для всех объектов-потомков user. 6. Чтение свойств всех атрибутов для всех дочерних объектов inetorgperson. 7. Чтение свойств всех атрибутов для всех объектов-потомков group. 8. Чтение свойств всех атрибутов для всех объектов-потомков contact.
Эти разрешения применяются ко всем доменам в лесу. При необходимости вы можете указать различающееся имя в параметре ADobjectDN, чтобы задавать эти разрешения только для данного объекта AD (с учетом наследования дочерними объектами).
Примеры
Пример 1
Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
Пример 2
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
Пример 3
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
Пример 4
Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Имя учетной записи Active Directory, которая является или будет использоваться microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Домен учетной записи Active Directory, которая является или будет использоваться microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Различающееся имя учетной записи Active Directory, которая является или будет использоваться синхронизацией Microsoft Entra Connect для управления объектами в каталоге.
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
Различающееся имя целевого объекта AD для задания разрешений (необязательный параметр).
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
Необязательный параметр, позволяющий указать, что контейнер AdminSDHolder не должен быть обновлен с помощью данных разрешений.
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Показывает, что произойдет при запуске командлета. Командлет не выполняется.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Запрос подтверждения перед выполнением командлета.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье Об общих параметрах (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncExchangeHybridPermissions
Краткий обзор
Инициализация леса и домена Active Directory для гибридной среды Exchange.
SYNTAX
UserDomain
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
Различающееся имя.
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
[-WhatIf] [-Confirm] [<CommonParameters>]
ОПИСАНИЕ
Функция Set-ADSyncExchangeHybridPermissions предоставит учетной записи синхронизации Active Directory необходимые разрешения, в том числе следующие: 1. Чтение и запись свойств всех атрибутов для всех объектов-потомков user. 2. Чтение и запись свойств всех атрибутов для всех объектов-потомков inetorgperson. 3. Чтение и запись свойств всех атрибутов для всех объектов-потомков group. 4. Чтение и запись свойств всех атрибутов для всех объектов-потомков contact.
Эти разрешения применяются ко всем доменам в лесу. При необходимости вы можете указать различающееся имя в параметре ADobjectDN, чтобы задавать эти разрешения только для данного объекта AD (с учетом наследования дочерними объектами).
Примеры
Пример 1
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
Пример 2
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
Пример 3
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
Пример 4
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Имя учетной записи Active Directory, которая является или будет использоваться microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Домен учетной записи Active Directory, которая является или будет использоваться microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Различающееся имя учетной записи Active Directory, которая является или будет использоваться синхронизацией Microsoft Entra Connect для управления объектами в каталоге.
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
Различающееся имя целевого объекта AD для задания разрешений (необязательный параметр).
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
Необязательный параметр, позволяющий указать, что контейнер AdminSDHolder не должен быть обновлен с помощью данных разрешений.
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Показывает, что произойдет при запуске командлета. Командлет не выполняется.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Запрос подтверждения перед выполнением командлета.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье Об общих параметрах (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncExchangeMailPublicFolderPermissions
Краткий обзор
Инициализация леса и домена Active Directory для общедоступных почтовых папок Exchange.
SYNTAX
UserDomain
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String>
-ADConnectorAccountDomain <String> [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm]
[<CommonParameters>]
Различающееся имя.
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
ОПИСАНИЕ
Функция Set-ADSyncExchangeMailPublicFolderPermissions предоставит учетной записи синхронизации AD необходимые разрешения, в том числе следующие: 1. Чтение свойств всех атрибутов для всех объектов-потомков publicfolder.
Эти разрешения применяются ко всем доменам в лесу. При необходимости вы можете указать различающееся имя в параметре ADobjectDN, чтобы задавать эти разрешения только для данного объекта AD (с учетом наследования дочерними объектами).
Примеры
Пример 1
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
Пример 2
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
Пример 3
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
Пример 4
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Имя учетной записи Active Directory, которая является или будет использоваться microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Домен учетной записи Active Directory, которая является или будет использоваться microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Различающееся имя учетной записи Active Directory, которая является или будет использоваться синхронизацией Microsoft Entra Connect для управления объектами в каталоге.
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
Различающееся имя целевого объекта AD для задания разрешений (необязательный параметр).
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
Необязательный параметр, позволяющий указать, что контейнер AdminSDHolder не должен быть обновлен с помощью данных разрешений.
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Показывает, что произойдет при запуске командлета. Командлет не выполняется.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Запрос подтверждения перед выполнением командлета.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье Об общих параметрах (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncMsDsConsistencyGuidPermissions
Краткий обзор
Инициализация леса и домена Active Directory для компонента mS-DS-ConsistencyGuid.
SYNTAX
UserDomain
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
Различающееся имя.
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
ОПИСАНИЕ
Функция Set-ADSyncMsDsConsistencyGuidPermissions предоставит учетной записи синхронизации Active Directory необходимые разрешения, в том числе следующие: 1. Чтение и запись свойства атрибута mS-DS-ConsistencyGuid для всех объектов-потомков user.
Эти разрешения применяются ко всем доменам в лесу. При необходимости вы можете указать различающееся имя в параметре ADobjectDN, чтобы задавать эти разрешения только для данного объекта AD (с учетом наследования дочерними объектами).
Примеры
Пример 1
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
Пример 2
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
Пример 3
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
Пример 4
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Имя учетной записи Active Directory, которая является или будет использоваться microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Домен учетной записи Active Directory, которая является или будет использоваться microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Различающееся имя учетной записи Active Directory, которая является или будет использоваться синхронизацией Microsoft Entra Connect для управления объектами в каталоге.
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
Различающееся имя целевого объекта AD для задания разрешений (необязательный параметр).
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
Необязательный параметр, позволяющий указать, что контейнер AdminSDHolder не должен быть обновлен с помощью данных разрешений.
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Показывает, что произойдет при запуске командлета. Командлет не выполняется.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Запрос подтверждения перед выполнением командлета.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье Об общих параметрах (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncPasswordHashSyncPermissions
Краткий обзор
Инициализация леса и домена Active Directory для синхронизации хэшей паролей.
SYNTAX
UserDomain
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-WhatIf] [-Confirm] [<CommonParameters>]
Различающееся имя.
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [-WhatIf] [-Confirm] [<CommonParameters>]
ОПИСАНИЕ
Функция Set-ADSyncPasswordHashSyncPermissions предоставит учетной записи синхронизации AD необходимые разрешения, в том числе следующие: 1. Репликация изменений каталога. 2. Репликация всех изменений каталога.
Эти разрешения предоставляются всем доменам в лесу.
Примеры
Пример 1
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
Пример 2
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Имя учетной записи Active Directory, которая будет использоваться microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Домен учетной записи Active Directory, которая будет использоваться Microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Различающееся имя учетной записи Active Directory, которая будет использоваться microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Показывает, что произойдет при запуске командлета. Командлет не выполняется.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Запрос подтверждения перед выполнением командлета.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье Об общих параметрах (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncPasswordWritebackPermissions
Краткий обзор
Инициализировать лес Active Directory и домен для обратной записи паролей из идентификатора Microsoft Entra.
SYNTAX
UserDomain
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
Различающееся имя.
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
ОПИСАНИЕ
Функция Set-ADSyncPasswordWritebackPermissions предоставит учетной записи синхронизации AD необходимые разрешения, в том числе следующие: 1. Сброс пароля для объектов-потомков user. 2. Запись свойств атрибута lockoutTime для всех объектов-потомков user. 3. Запись свойств атрибута pwdLastSet для всех объектов-потомков user.
Эти разрешения применяются ко всем доменам в лесу. При необходимости вы можете указать различающееся имя в параметре ADobjectDN, чтобы задавать эти разрешения только для данного объекта AD (с учетом наследования дочерними объектами).
Примеры
Пример 1
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
Пример 2
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
Пример 3
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
Пример 4
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Имя учетной записи Active Directory, которая является или будет использоваться microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Домен учетной записи Active Directory, которая является или будет использоваться microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Различающееся имя учетной записи Active Directory, которая является или будет использоваться синхронизацией Microsoft Entra Connect для управления объектами в каталоге.
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
Различающееся имя целевого объекта AD для задания разрешений (необязательный параметр).
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
Необязательный параметр, позволяющий указать, что контейнер AdminSDHolder не должен быть обновлен с помощью данных разрешений.
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Показывает, что произойдет при запуске командлета. Командлет не выполняется.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Запрос подтверждения перед выполнением командлета.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье Об общих параметрах (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncRestrictedPermissions
Краткий обзор
Ограничение доступа к объекту AD, если он не включен в какую-либо группу безопасности AD. Типичным примером является учетная запись AD Connect (MSOL), созданная Microsoft Entra Connect автоматически. Эта учетная запись имеет разрешения на репликацию для все доменов, однако ее легко скомпрометировать, так как она не защищена.
SYNTAX
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential>
[-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
ОПИСАНИЕ
Функция Set-ADSyncRestrictedPermissions ограничит доступ указанной учетной записи. Сужение разрешения включает следующие шаги:
Отключение наследования для указанного объекта.
Удаление всех элементов управления доступом в конкретном объекте, кроме элементов управления доступом, характерных для SELF. При работе с SELF нужно сохранять разрешения по умолчанию без изменений.
Назначение указанных ниже специальных разрешений.
Тип Имя. Открыть Применяется к Разрешить SYSTEM Полный доступ этому объекту Разрешить Администраторы предприятия Полный доступ этому объекту Разрешить Администраторы домена Полный доступ этому объекту Разрешить Администраторы Полный доступ этому объекту Разрешить Контроллеры домена предприятия Содержимое списка
Чтение всех свойств
Разрешения на чтениеэтому объекту Разрешить Пользователи, прошедшие проверку подлинности Содержимое списка
Чтение всех свойств
Разрешения на чтениеэтому объекту
Примеры
Пример 1
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN "CN=TestAccount1,CN=Users,DC=Contoso,DC=com" -Credential $(Get-Credential)
PARAMETERS
-ADConnectorAccountDN
Различающееся имя учетной записи Active Directory, для которой нужно ограничить разрешения. Обычно это учетная запись MSOL_nnnnnnnnnn или учетная запись личного домена, настроенная в соединителе AD.
Type: String
Parameter Sets: (All)
Aliases:
Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Credential
Учетные данные администратора с привилегиями, необходимыми для ограничения разрешений учетной записи ADConnectorAccountDN. Обычно это администратор предприятия или домена. Чтобы избежать ошибок при поиске учетной записи, используйте полное доменное имя учетной записи администратора. Пример: CONTOSO\admin.
Type: PSCredential
Parameter Sets: (All)
Aliases:
Required: True
Position: 2
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-DisableCredentialValidation
Если используется параметр DisableCredentialValidation, функция не будет проверять, допустимы ли в AD учетные данные, указанные в параметре -Credential, и имеются ли у указанной учетной записи необходимые привилегии для ограничения разрешений учетной записи ADConnectorAccountDN.
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Показывает, что произойдет при запуске командлета. Командлет не выполняется.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Запрос подтверждения перед выполнением командлета.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье Об общих параметрах (https://go.microsoft.com/fwlink/?LinkID=113216).
Set-ADSyncUnifiedGroupWritebackPermissions
Краткий обзор
Инициализировать лес и домен Active Directory для обратной записи группы из идентификатора Microsoft Entra.
SYNTAX
UserDomain
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
Различающееся имя.
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
ОПИСАНИЕ
Функция Set-ADSyncUnifiedGroupWritebackPermissions предоставит учетной записи синхронизации Active Directory необходимые разрешения, в том числе следующие: 1. Универсальные права чтения, записи, удаления, удаления дерева и создания/удаления дочернего элемента для всех типов Object и SubObjects групп.
Эти разрешения применяются ко всем доменам в лесу. При необходимости вы можете указать различающееся имя в параметре ADobjectDN, чтобы задавать эти разрешения только для данного объекта AD (с учетом наследования дочерними объектами). В этом случае ADobjectDN будет различающимся именем контейнера, который необходимо связать с функцией GroupWriteback.
Примеры
Пример 1
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
Пример 2
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
Пример 3
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
Пример 4
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Имя учетной записи Active Directory, которая является или будет использоваться microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Домен учетной записи Active Directory, которая является или будет использоваться microsoft Entra Connect Sync для управления объектами в каталоге.
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Различающееся имя учетной записи Active Directory, которая является или будет использоваться синхронизацией Microsoft Entra Connect для управления объектами в каталоге.
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
Различающееся имя целевого объекта AD для задания разрешений (необязательный параметр).
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
Необязательный параметр, позволяющий указать, что контейнер AdminSDHolder не должен быть обновлен с помощью данных разрешений.
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
Показывает, что произойдет при запуске командлета. Командлет не выполняется.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
Запрос подтверждения перед выполнением командлета.
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье Об общих параметрах (https://go.microsoft.com/fwlink/?LinkID=113216).
Show-ADSyncADObjectPermissions
Краткий обзор
Отображает разрешения указанного объекта AD.
SYNTAX
Show-ADSyncADObjectPermissions [-ADobjectDN] <String> [<CommonParameters>]
ОПИСАНИЕ
Эта функция возвращает все текущие разрешения конструктора приложений, заданные для данного объекта конструктора приложений, указанного в параметре — ADobjectDN. Значение ADobjectDN должно быть указано в формате различающегося имени.
Примеры
Пример 1
Show-ADSyncADObjectPermissions -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADobjectDN
{{Введите описание ADobjectDN}}
Type: String
Parameter Sets: (All)
Aliases:
Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutVariable, -OutBuffer, -PipelineVariable, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье Об общих параметрах (https://go.microsoft.com/fwlink/?LinkID=113216).