Microsoft Entra Connect: Konfigurace oprávnění účtu konektoru služby AD DS
Modul PowerShellu s názvem ADSyncConfig.psm1 byl představen s buildem 1.1.880.0 (vydaným v srpnu 2018), který obsahuje kolekci rutin, které vám pomůžou nakonfigurovat správná oprávnění služby Active Directory pro vaše nasazení Microsoft Entra Connect.
Přehled
Následující cmdlety PowerShellu se dají použít pro nastavení oprávnění účtu konektoru služby AD DS v Active Directory pro každou funkci, kterou vyberete pro povolení v Microsoft Entra Connect. Abyste zabránili jakýmkoli problémům, měli byste předem připravit oprávnění služby Active Directory, kdykoli chcete nainstalovat Microsoft Entra Connect pomocí vlastního účtu domény pro připojení k doménové struktuře. Tento modul ADSyncConfig lze také použít ke konfiguraci oprávnění po nasazení nástroje Microsoft Entra Connect.
Pro instalaci Microsoft Entra Connect Express se ve službě Active Directory vytvoří automaticky vygenerovaný účet (MSOL_nnnnnnnnnn) se všemi potřebnými oprávněními. Tento modul ADSyncConfig nemusíte používat, pokud jste nezablokovali dědičnost oprávnění u organizačních jednotek nebo konkrétních objektů služby Active Directory, které chcete synchronizovat s ID Microsoft Entra.
Souhrn oprávnění
Následující tabulka obsahuje souhrn oprávnění požadovaných pro objekty AD:
| Funkce | Oprávnění |
|---|---|
| Funkce ms-DS-ConsistencyGuid | Oprávnění ke čtení a zápisu atributu ms-DS-ConsistencyGuid zdokumentovaného v konceptech návrhu – Použití ms-DS-ConsistencyGuid jako sourceAnchor |
| Synchronizace hodnot hash hesel | |
| Hybridní nasazení Exchange | Oprávnění ke čtení a zápisu atributů zdokumentovaných v hybridním zpětném zápisu Exchange pro uživatele, skupiny a kontakty |
| Veřejná složka e-mailu Exchange | Informace o oprávněních ke čtení atributů pro veřejné složky najdete v části Veřejná složka e-mailu Exchange. |
| Zpětný zápis hesla | Oprávnění ke čtení a zápisu k atributům zdokumentovaným v části Začínáme se správou hesel pro uživatele |
| Zpětný zápis zařízení | Oprávnění ke čtení a zápisu k objektům a kontejnerům zařízení zdokumentovaným v zpětném zápisu zařízení |
| Zpětný zápis skupin | Čtení, vytváření, aktualizace a odstraňování objektů skupiny pro synchronizované skupiny Office 365 |
Použití modulu PowerShellu ADSyncConfig
Modul ADSyncConfig vyžaduje nástroje pro vzdálenou správu serveru (RSAT) pro službu AD DS , protože závisí na modulu a nástrojích PowerShellu služby AD DS. Pokud chcete nainstalovat vzdálenou správu serveru pro službu AD DS, otevřete okno Windows PowerShellu s příkazem Spustit jako správce a spusťte:
Install-WindowsFeature RSAT-AD-Tools
Poznámka:
Můžete také zkopírovat soubor C:\Program Files\Microsoft Entra Connect\AdSyncConfig\ADSyncConfig.psm1 do řadiče domény, který už má nástroj RSAT pro SLUŽBU AD DS nainstalovaný a používat tento modul PowerShellu odtud. Mějte na paměti, že některé rutiny se dají spustit jenom na počítači, který hostuje Microsoft Entra Connect.
Pokud chcete začít používat ADSyncConfig, musíte modul načíst v okně Windows PowerShellu:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Pokud chcete zkontrolovat všechny rutiny zahrnuté v tomto modulu, můžete zadat:
Get-Command -Module AdSyncConfig
Každá rutina má stejné parametry pro zadání účtu konektoru SLUŽBY AD DS a přepínače AdminSDHolder. Pokud chcete zadat účet konektoru služby AD DS, můžete zadat název účtu a doménu nebo jenom rozlišující název účtu (DN).
Například:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
nebo
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Nezapomeňte nahradit <ADAccountName><ADDomainName> a <ADAccountDN> za správné hodnoty pro vaše prostředí.
V případě, že chcete upravit oprávnění pro kontejner AdminSDHolder, použijte přepínač -IncludeAdminSdHolders. Toto se nedoporučuje.
Ve výchozím nastavení se rutiny PowerShellu pro nastavení oprávnění pokusí nastavit oprávnění služby AD DS v kořenovém adresáři každé domény v lesu. To znamená, že uživatel, který spouští relaci PowerShellu, potřebuje oprávnění správce domény pro každou doménu v lesu. Kvůli tomuto požadavku se doporučuje použít podnikový správce z kořenové struktury. Pokud má vaše nasazení Microsoft Entra Connect více konektorů AD DS, je vyžadováno spustit tentýž cmdlet pro každý les, který má konektor AD DS.
Oprávnění pro konkrétní organizační jednotky nebo objekt AD DS můžete také nastavit pomocí parametru -ADobjectDN následovaného DN cílového objektu, kde chcete nastavit oprávnění. Při použití cílového objektu ADobjectDN nastaví rutina oprávnění pouze pro tento objekt, a ne v kořenovém adresáři domény nebo kontejneru AdminSDHolder. Tento parametr může být užitečný, pokud máte určité organizační jednotky nebo objekty AD DS, které mají zakázáno dědičnost oprávnění (viz Vyhledání objektů AD DS se zakázaným dědičností oprávnění).
Výjimky z těchto běžných parametrů jsou rutina Set-ADSyncRestrictedPermissions, která slouží k nastavení oprávnění k samotnému účtu konektoru služby AD DS, a rutina Set-ADSyncPasswordHashSyncPermissions, protože oprávnění požadovaná pro synchronizaci hodnot hash hesel jsou nastavená pouze v kořenovém adresáři domény, a proto tato rutina neobsahuje parametry -ObjectDN ani -IncludeAdminSdHolders.
Určení účtu konektoru služby AD DS
V případě, že je microsoft Entra Connect již nainstalovaný a chcete zkontrolovat, co je aktuálně používán účet konektoru služby AD DS službou Microsoft Entra Connect, můžete spustit tuto rutinu:
Get-ADSyncADConnectorAccount
Vyhledání objektů SLUŽBY AD DS se zakázaným dědičností oprávnění
Pokud chcete zkontrolovat, jestli existuje nějaký objekt AD DS se zakázanou dědičností oprávnění, můžete spustit:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
Ve výchozím nastavení tato rutina hledá pouze organizační jednotky se zakázanou dědičností, ale v parametru -ObjectClass můžete zadat další třídy objektů AD DS nebo použít * pro všechny třídy objektů následujícím způsobem:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Zobrazení oprávnění služby AD DS objektu
Následující rutinu můžete použít k zobrazení seznamu oprávnění aktuálně nastavených u objektu služby Active Directory zadáním jeho rozlišujícího názvu:
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
Konfigurace oprávnění účtu konektoru služby AD DS
Konfigurace základních oprávnění jen pro čtení
Pokud chcete nastavit základní oprávnění jen pro čtení pro účet konektoru AD DS, pokud nepoužíváte žádnou funkci Microsoft Entra Connect, spusťte:
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
nebo
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | Účet konektoru služby AD DS | Čtení všech vlastností | Objekty zařízení potomků |
| Povolit | Účet konektoru služby AD DS | Čtení všech vlastností | Descendant InetOrgPerson – objekty |
| Povolit | Účet konektoru služby AD DS | Čtení všech vlastností | Objekty počítače potomků |
| Povolit | Účet konektoru služby AD DS | Čtení všech vlastností | Descendant foreignSecurityPrincipal objekty |
| Povolit | Účet konektoru služby AD DS | Čtení všech vlastností | Objekty descendant Group |
| Povolit | Účet konektoru služby AD DS | Čtení všech vlastností | Objekty potomků uživatele |
| Povolit | Účet konektoru služby AD DS | Čtení všech vlastností | Objekty potomku kontaktu |
| Povolit | Účet konektoru služby AD DS | Replikace změn adresáře | Pouze tento objekt (kořen domény) |
Konfigurace oprávnění MS-DS-Consistency-Guid
Pokud chcete nastavit oprávnění pro účet konektoru služby AD DS při použití atributu ms-Ds-Consistency-Guid jako zdrojového ukotvení (označuje se také jako možnost Umožnit Azure spravovat zdrojovou ukotvení pro mě), spusťte:
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
nebo
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tento příkaz nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | Účet konektoru služby AD DS | Read/Write – vlastnost | Objekty potomků uživatele |
Oprávnění pro synchronizaci hodnot hash hesel
Pokud chcete nastavit oprávnění pro účet konektoru služby AD DS při použití synchronizace hodnot hash hesel, spusťte:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
nebo
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
Tento cmdlet nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | Účet konektoru služby AD DS | Replikace změn adresáře | Pouze tento objekt (kořen domény) |
| Povolit | Účet konektoru služby AD DS | Replikace změn adresáře – vše | Pouze tento objekt (kořen domény) |
Oprávnění pro zpětný zápis hesla
Pokud chcete nastavit oprávnění pro účet konektoru SLUŽBY AD DS při použití zpětného zápisu hesla, spusťte:
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
nebo
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | Účet konektoru služby AD DS | Vytvořit nové heslo | Objekty potomků uživatele |
| Povolit | Účet konektoru služby AD DS | Write property lockoutTime | Objekty potomků uživatele |
| Povolit | Účet konektoru služby AD DS | Write property pwdLastSet | Objekty potomků uživatele |
Oprávnění pro zpětný zápis skupiny
Pokud chcete nastavit oprávnění pro účet konektoru SLUŽBY AD DS při použití zpětného zápisu skupiny, spusťte:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
nebo
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tento cmdlet nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | Účet konektoru služby AD DS | Obecné čtení a zápis | Všechny atributy skupiny typů objektů a podobjektů |
| Povolit | Účet konektoru služby AD DS | Vytvoření nebo odstranění podřízeného objektu | Všechny atributy skupiny typů objektů a podobjektů |
| Povolit | Účet konektoru služby AD DS | Odstranění nebo odstranění objektů stromu | Všechny atributy skupiny typů objektů a podobjektů |
Oprávnění pro hybridní nasazení Exchange
Pokud chcete nastavit oprávnění pro účet konektoru SLUŽBY AD DS při použití hybridního nasazení Exchange, spusťte:
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
nebo
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Tato rutina nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | Účet konektoru služby AD DS | Čtení/zápis všech vlastností | Objekty potomků uživatele |
| Povolit | Účet konektoru služby AD DS | Čtení/zápis všech vlastností | Descendant InetOrgPerson – objekty |
| Povolit | Účet konektoru služby AD DS | Čtení/zápis všech vlastností | Objekty descendant Group |
| Povolit | Účet konektoru služby AD DS | Čtení/zápis všech vlastností | Objekty potomku kontaktu |
Oprávnění pro veřejné složky pošty Exchange
Pokud chcete nastavit oprávnění pro účet konektoru SLUŽBY AD DS při použití funkce Veřejné složky pošty Exchange, spusťte:
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
nebo
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
This cmdlet nastavuje následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | Účet konektoru služby AD DS | Čtení všech vlastností | Objekty Descendant PublicFolder |
Omezení oprávnění pro účet konektoru služby AD DS
Tento skript PowerShellu zpřísní oprávnění pro účet konektoru AD zadaný jako parametr. Zpřísnění oprávnění zahrnuje následující kroky:
Zakázání dědičnosti u zadaného objektu
Odeberte všechny ACL na konkrétním objektu, s výjimkou ACL specifických pro SELF, protože chceme zachovat výchozí oprávnění beze změny, pokud jde o SELF.
Parametr -ADConnectorAccountDN je účet AD, jehož oprávnění je potřeba utáhnout. Obvykle se jedná o účet domény MSOL_nnnnnnnnnnnn nakonfigurovaný v konektoru služby AD DS (viz Určení účtu konektoru služby AD DS). Parametr -Credential je nezbytný k zadání účtu Správce, který má potřebná oprávnění k omezení oprávnění služby Active Directory pro cílový objekt AD (tento účet se musí lišit od účtu ADConnectorAccountDN). Obvykle se jedná o podnikového správce nebo správce domény.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Příklad:
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
Tato rutina nastaví následující oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | SYSTÉM | Úplné řízení | Tento objekt |
| Povolit | Enterprise Admins | Úplné řízení | Tento objekt |
| Povolit | Domain Admins | Úplné řízení | Tento objekt |
| Povolit | Správci | Úplné řízení | Tento objekt |
| Povolit | Podnikové řadiče domény | Obsah seznamu | Tento objekt |
| Povolit | Podnikové řadiče domény | Číst všechny vlastnosti | Tento objekt |
| Povolit | Podnikové řadiče domény | Oprávnění ke čtení | Tento objekt |
| Povolit | Ověření uživatelé | Obsah seznamu | Tento objekt |
| Povolit | Ověření uživatelé | Číst všechny vlastnosti | Tento objekt |
| Povolit | Ověření uživatelé | Oprávnění ke čtení | Tento objekt |