Installieren von Microsoft Entra Connect mithilfe delegierter SQL-Administratorberechtigungen
Vor dem neuesten Microsoft Entra Connect-Build wurde die administrative Delegierung bei der Bereitstellung von Konfigurationen, die SQL erforderten, nicht unterstützt. Benutzer, die Microsoft Entra Connect installieren möchten, benötigen Serveradministratorberechtigungen (SA) auf dem SQL-Server.
Mit der neuesten Version von Microsoft Entra Connect kann der SQL-Administrator jetzt die Datenbank außerhalb des Bandes bereitstellen, und der Microsoft Entra Connect-Administrator kann sie mit Datenbankbesitzerrechten installieren.
Bevor Sie beginnen
Um dieses Feature zu verwenden, müssen Sie verstehen, dass es viele verschiedene Bestandteile gibt, und jeder Teil kann von einem anderen Administrator in Ihrer Organisation verwaltet werden. In der folgenden Tabelle sind die einzelnen Rollen und ihre jeweiligen Aufgaben bei der Bereitstellung von Microsoft Entra Connect mit diesem Feature zusammengefasst.
| Rolle | Beschreibung |
|---|---|
| AD-Administrator*in der Domäne oder Gesamtstruktur | Erstellt das Dienstkonto auf Domänenebene, das von Microsoft Entra Connect zum Ausführen des Synchronisierungsdiensts verwendet wird. Weitere Informationen zu Dienstkonten finden Sie unter Konten und Berechtigungen. |
| SQL-Administrator*in | Erstellt die ADSync-Datenbank und gewährt Anmelde- und dbo-Zugriff auf das Microsoft Entra Connect-Administratorkonto sowie das von Domänen-/Gesamtstrukturadministrator*in erstellte Dienstkonto. |
| Microsoft Entra Connect-Administrator*in | Installiert Microsoft Entra Connect und gibt während der benutzerdefinierten Installation das Dienstkonto an. |
Schritte zum Installieren von Microsoft Entra Connect mithilfe delegierter SQL-Berechtigungen
Führen Sie die folgenden Schritte aus, um die Datenbank außerhalb des Bandes bereitzustellen und Microsoft Entra Connect mit Datenbankbesitzerberechtigungen zu installieren.
Anmerkung
Obwohl es nicht erforderlich ist, wird dringend empfohlen, beim Erstellen der Datenbank als Sortierung Latin1_General_CI_AS auszuwählen.
Lassen Sie die ADSync-Datenbank durch SQL-Administrator*in mit einer Sortierreihenfolge unter Berücksichtigung der Groß-/Kleinschreibung (Latin1_General_CI_AS) erstellen. Das Wiederherstellungsmodell, die Kompatibilitätsebene und der Eindämmungstyp werden bei der Installation von Microsoft Entra Connect auf die richtigen Werte aktualisiert. Der SQL-Administrator muss jedoch die Sortierreihenfolge richtig festlegen. Andernfalls blockiert Microsoft Entra Connect die Installation. Zum Wiederherstellen müssen Dienstadministrator*innen die Datenbank löschen und neu erstellen.
Gewähren Sie dem Microsoft Entra Connect-Administrator und dem Domänendienstkonto die folgenden Berechtigungen:
- SQL-Anmeldung
- Datenbankbesitzerrechte (dbo)
Anmerkung
Microsoft Entra Connect unterstützt keine Anmeldungen mit einer geschachtelten Mitgliedschaft. Dies bedeutet, dass Ihr Microsoft Entra Connect-Administratorkonto und Ihr Domänendienstkonto mit einer Benutzeranmeldung verknüpft sein müssen, der dbo-Rechte gewährt werden. Es kann nicht einfach ein Mitglied einer Gruppe sein, die einer Anmeldung mit dbo-Rechten zugewiesen ist.
Senden Sie eine E-Mail an den Microsoft Entra Connect-Administrator, der den SQL Server- und Instanznamen angibt, der beim Installieren von Microsoft Entra Connect verwendet werden soll.
Zusatzinformation
Sobald die Datenbank bereitgestellt wurde, kann der Microsoft Entra Connect-Administrator die lokale Synchronisierung bequem installieren und konfigurieren.
Falls der SQL-Administrator die ADSync-Datenbank aus einer früheren Microsoft Entra Connect-Sicherung wiederhergestellt hat, müssen Sie den neuen Microsoft Entra Connect-Server mithilfe einer vorhandenen Datenbank installieren. Weitere Informationen zum Installieren von Microsoft Entra Connect mit einer vorhandenen Datenbank finden Sie unter Installieren von Microsoft Entra Connect mithilfe einer vorhandenen ADSync-Datenbank.