Microsoft Entra Connect: Konfigurera kontobehörigheter för AD DS Connector
PowerShell-modulen med namnet ADSyncConfig.psm1 introducerades med version 1.1.880.0 (släpptes i augusti 2018) som innehåller en samling cmdletar som hjälper dig att konfigurera rätt Active Directory-behörigheter för din Microsoft Entra Connect-distribution.
Översikt
Följande PowerShell-cmdletar kan användas för att konfigurera Active Directory-behörigheter för AD DS Connector-kontot för varje funktion som du väljer att aktivera i Microsoft Entra Connect. För att förhindra problem bör du förbereda Active Directory-behörigheter i förväg när du vill installera Microsoft Entra Connect med ett anpassat domänkonto för att ansluta till din skog. Den här ADSyncConfig-modulen kan också användas för att konfigurera behörigheter när Microsoft Entra Connect har distribuerats.
För Microsoft Entra Connect Express-installation skapas ett automatiskt genererat konto (MSOL_nnnnnnnnnn) i Active Directory med all nödvändig behörighet. Du behöver inte använda den här ADSyncConfig-modulen om du inte har blockerat arv av behörigheter på organisationsenheter eller på specifika Active Directory-objekt som du vill synkronisera med Microsoft Entra-ID.
Sammanfattning av behörigheter
Följande tabell innehåller en sammanfattning av de behörigheter som krävs för AD-objekt:
| Funktion | Behörigheter |
|---|---|
| ms-DS-ConsistencyGuid-funktion | Läs- och skrivbehörighet till attributet ms-DS-ConsistencyGuid som dokumenteras i Designbegrepp – Använda ms-DS-ConsistencyGuid som sourceAnchor. |
| Hash-synkronisering för lösenord | |
| Exchange-hybridinstallation | Läs- och skrivbehörigheter till attributen som dokumenteras i Exchange Hybrid-tillbakaskrivning för användare, grupper och kontakter. |
| Gemensam mapp för Exchange-e-post | Läsbehörigheter till attributen, som beskrivs i Gemensam mapp för Exchange-e-post, för gemensamma mappar. |
| Tillbakaskrivning av lösenord | Läs- och skrivbehörigheter till attributen som dokumenteras i Komma igång med lösenordshantering för användare. |
| Tillbakaskrivning av enheter | Läs- och skrivbehörighet till enhetsobjekt och containrar som dokumenteras i tillbakaskrivning av enheter. |
| Tillbakaskrivning av grupp | Läs, Skapa, Uppdatera och Ta bort gruppobjekt för synkroniserade Office 365-grupper. |
Använda ADSyncConfig PowerShell-modulen
ADSyncConfig-modulen kräver RSAT (Remote Server Administration Tools) för AD DS eftersom den är beroende av AD DS PowerShell-modulen och verktygen. Om du vill installera RSAT för AD DS öppnar du ett Windows PowerShell-fönster med "Kör som administratör" och kör:
Install-WindowsFeature RSAT-AD-Tools
Kommentar
Du kan också kopiera filen C:\Program Files\Microsoft Entra Connect\AdSyncConfig\ADSyncConfig.psm1 till en domänkontrollant som redan har RSAT för AD DS installerat och använder den här PowerShell-modulen därifrån. Tänk på att vissa cmdletar bara kan köras på den dator som är värd för Microsoft Entra Connect.
Om du vill börja använda ADSyncConfig måste du läsa in modulen i ett Windows PowerShell-fönster:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Om du vill kontrollera alla cmdletar som ingår i den här modulen kan du skriva:
Get-Command -Module AdSyncConfig
Varje cmdlet har samma parametrar för att mata in AD DS Connector-kontot och en AdminSDHolder-växel. Om du vill ange ditt AD DS Connector-konto kan du ange kontonamnet och domänen, eller bara kontot Unikt namn (DN).
Till exempel:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
Eller,
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Ersätt <ADAccountName>, <ADDomainName> och <ADAccountDN> med rätt värden för din miljö.
Om du vill ändra behörigheter för containern AdminSDHolder använder du växeln -IncludeAdminSdHolders. Detta rekommenderas inte.
Som standard försöker alla cmdletar för uppsättningsbehörigheter ange AD DS-behörigheter på roten för varje domän i skogen, vilket innebär att användaren som kör PowerShell-sessionen kräver domänadministratörsbehörighet för varje domän i skogen. På grund av det här kravet rekommenderar vi att du använder en företagsadministratör från skogsroten. Om din Microsoft Entra Connect-distribution har flera AD DS-anslutningsappar, måste du köra samma cmdlet på varje skog som har en AD DS-anslutningsapp.
Du kan också ange behörigheter för en specifik organisationsenhet eller AD DS-objekt med hjälp av parametern -ADobjectDN följt av DN för målobjektet där du vill ange behörigheter. När du använder ett ADobjectDN-mål anger cmdleten endast behörigheter för det här objektet och inte på domänroten eller AdminSDHolder-containern. Den här parametern kan vara användbar när du har vissa organisationsenheter eller AD DS-objekt som har behörighetsarv inaktiverat (se Hitta AD DS-objekt med behörighetsarv inaktiverat)
Undantag till dessa vanliga parametrar är den Set-ADSyncRestrictedPermissions cmdlet som används för att ange behörigheterna för själva AD DS-anslutningskontot och cmdleten Set-ADSyncPasswordHashSyncPermissions eftersom de behörigheter som krävs för synkronisering av lösenordshash endast anges i domänroten, därför innehåller inte den här cmdleten parametrarna -ObjectDN eller -IncludeAdminSdHolders.
Fastställa ditt AD DS Connector-konto
Om Microsoft Entra Connect redan är installerat och du vill kontrollera vilket AD DS Connector-konto som för närvarande används av Microsoft Entra Connect kan du köra cmdleten:
Get-ADSyncADConnectorAccount
Leta upp AD DS-objekt med behörighetsarv inaktiverat
Om du vill kontrollera om det finns något AD DS-objekt med behörighetsarv inaktiverat kan du köra:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
Som standard söker den här cmdleten bara efter organisationsenheter med inaktiverat arv, men du kan ange andra AD DS-objektklasser i -ObjectClass parameter eller använda *för alla objektklasser enligt följande:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Visa AD DS-behörigheter för ett objekt
Du kan använda cmdleten som följer för att visa listan över behörigheter som för närvarande har angetts för ett Active Directory-objekt genom att ange dess DistinguishedName:
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
Konfigurera behörigheter för AD DS Connector
Konfigurera grundläggande skrivskyddade behörigheter
Om du vill ange grundläggande skrivskyddade behörigheter för AD DS Connector-kontot när du inte använder någon Microsoft Entra Connect-funktion kör du:
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Eller,
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Den här cmdleten anger följande behörigheter:
| Typ | Name | Access | Gäller för |
|---|---|---|---|
| Tillåt | AD DS-anslutningskonto | Läsa alla egenskaper | Underordnade enhetsobjekt |
| Tillåt | AD DS-anslutningskonto | Läsa alla egenskaper | Underordnade InetOrgPerson-objekt |
| Tillåt | AD DS-anslutningskonto | Läsa alla egenskaper | Underordnade datorobjekt |
| Tillåt | AD DS-anslutningskonto | Läsa alla egenskaper | Underordnade foreignSecurityPrincipal-objekt |
| Tillåt | AD DS-anslutningskonto | Läsa alla egenskaper | Underordnade gruppobjekt |
| Tillåt | AD DS-anslutningskonto | Läsa alla egenskaper | Underordnade användarobjekt |
| Tillåt | AD DS-anslutningskonto | Läsa alla egenskaper | Underordnade kontaktobjekt |
| Tillåt | AD DS-anslutningskonto | Replikera katalogändringar | Endast det här objektet (domänrot) |
Konfigurera MS-DS-Consistency-Guid-behörigheter
Om du vill ange behörigheter för AD DS Connector-kontot när du använder attributet ms-Ds-Consistency-Guid som källankare (kallas även alternativet "Låt Azure hantera källankaret för mig" kör du:
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Eller,
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Den här cmdleten anger följande behörigheter:
| Typ | Name | Access | Gäller för |
|---|---|---|---|
| Tillåt | AD DS-anslutningskonto | Läs-/skrivegenskap | Underordnade användarobjekt |
Behörigheter för synkronisering av lösenordshash
Om du vill ange behörigheter för AD DS Connector-kontot när du använder synkronisering av lösenordshash kör du:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
Eller,
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
Den här cmdleten anger följande behörigheter:
| Typ | Name | Access | Gäller för |
|---|---|---|---|
| Tillåt | AD DS-anslutningskonto | Replikera katalogändringar | Endast det här objektet (domänrot) |
| Tillåt | AD DS-anslutningskonto | Replikera katalogändringar alla | Endast det här objektet (domänrot) |
Behörigheter för tillbakaskrivning av lösenord
Om du vill ange behörigheter för AD DS Connector-kontot när du använder tillbakaskrivning av lösenord kör du:
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Eller,
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Den här cmdleten anger följande behörigheter:
| Typ | Name | Access | Gäller för |
|---|---|---|---|
| Tillåt | AD DS-anslutningskonto | Återställ lösenord | Underordnade användarobjekt |
| Tillåt | AD DS-anslutningskonto | Skriv egenskapsutelåsningTid | Underordnade användarobjekt |
| Tillåt | AD DS-anslutningskonto | Skrivegenskap pwdLastSet | Underordnade användarobjekt |
Behörigheter för tillbakaskrivning av grupp
Om du vill ange behörigheter för AD DS Connector-kontot när du använder Tillbakaskrivning av grupp kör du:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Eller,
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Den här cmdleten anger följande behörigheter:
| Typ | Name | Access | Gäller för |
|---|---|---|---|
| Tillåt | AD DS-anslutningskonto | Allmän läsning/skrivning | Alla attribut för objekttypsgrupp och underobjekt |
| Tillåt | AD DS-anslutningskonto | Skapa/ta bort underordnat objekt | Alla attribut för objekttypsgrupp och underobjekt |
| Tillåt | AD DS-anslutningskonto | Ta bort/ta bort trädobjekt | Alla attribut för objekttypsgrupp och underobjekt |
Behörigheter för Exchange Hybrid-distribution
Om du vill ange behörigheter för AD DS Connector-kontot när du använder Exchange Hybrid-distribution kör du:
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Eller,
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Den här cmdleten anger följande behörigheter:
| Typ | Name | Access | Gäller för |
|---|---|---|---|
| Tillåt | AD DS-anslutningskonto | Läs/skriv alla egenskaper | Underordnade användarobjekt |
| Tillåt | AD DS-anslutningskonto | Läs/skriv alla egenskaper | Underordnade InetOrgPerson-objekt |
| Tillåt | AD DS-anslutningskonto | Läs/skriv alla egenskaper | Underordnade gruppobjekt |
| Tillåt | AD DS-anslutningskonto | Läs/skriv alla egenskaper | Underordnade kontaktobjekt |
Behörigheter för gemensamma Exchange Mail-mappar
Om du vill ange behörigheter för AD DS Connector-kontot när du använder funktionen Gemensamma Mappar för Exchange Mail kör du:
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Eller,
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Den här cmdleten anger följande behörigheter:
| Typ | Name | Access | Gäller för |
|---|---|---|---|
| Tillåt | AD DS-anslutningskonto | Läsa alla egenskaper | Underordnade PublicFolder-objekt |
Begränsa behörigheter för AD DS Connector-kontot
Det här PowerShell-skriptet skärper behörigheterna för AD Connector-kontot som tillhandahålls som en parameter. För att skärpa behörigheterna ingår följande steg:
Inaktivera arv för det angivna objektet
Ta bort alla ACL:er för det specifika objektet, förutom ACL:er som är specifika för SELF eftersom vi vill behålla standardbehörigheterna intakta när det gäller SELF.
Parametern -ADConnectorAccountDN är det AD-konto vars behörigheter måste skärpas. Detta är vanligtvis det MSOL_nnnnnnnnnnnn domänkonto som har konfigurerats i AD DS Connector (se Fastställa ditt AD DS-anslutningskonto). Parametern -Credential är nödvändig för att ange det administratörskonto som har de behörigheter som krävs för att begränsa Active Directory-behörigheter för AD-målobjektet (det här kontot måste skilja sig från ADConnectorAccountDN-kontot). Detta är vanligtvis företags- eller domänadministratören.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Till exempel:
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
Den här cmdleten anger följande behörigheter:
| Typ | Name | Access | Gäller för |
|---|---|---|---|
| Tillåt | System | Fullständig kontroll | Det här objektet |
| Tillåt | Enterprise Admins | Fullständig kontroll | Det här objektet |
| Tillåt | Domain Admins | Fullständig kontroll | Det här objektet |
| Tillåt | Administratörer | Fullständig kontroll | Det här objektet |
| Tillåt | Företagsdomänkontrollanter | Listinnehåll | Det här objektet |
| Tillåt | Företagsdomänkontrollanter | Läs alla egenskaper | Det här objektet |
| Tillåt | Företagsdomänkontrollanter | Läsbehörigheter | Det här objektet |
| Tillåt | Autentiserade användare | Listinnehåll | Det här objektet |
| Tillåt | Autentiserade användare | Läs alla egenskaper | Det här objektet |
| Tillåt | Autentiserade användare | Läsbehörigheter | Det här objektet |