Microsoft Entra Connect installeren met behulp van gedelegeerde SQL-beheerdersmachtigingen
Voordat de nieuwste versie van Microsoft Entra Connect werd uitgebracht, werd administratieve delegatie bij het implementeren van configuraties waarvoor SQL vereist was, niet ondersteund. Gebruikers die Microsoft Entra Connect wilden installeren, moesten machtigingen voor serverbeheerder (SA) hebben op de SQL-server.
Met de nieuwste versie van Microsoft Entra Connect kan de SQL-beheerder de database nu buiten de band inrichten en kan de Microsoft Entra Connect-beheerder deze installeren met rechten van database-eigenaar.
Voordat u begint
Als u deze functie wilt gebruiken, moet u zich realiseren dat er verschillende bewegende onderdelen zijn en dat elk onderdeel mogelijk een andere beheerder in uw organisatie omvat. De volgende tabel bevat een overzicht van de afzonderlijke rollen en hun respectieve taken bij het implementeren van Microsoft Entra Connect met deze functie.
| Rol | Beschrijving |
|---|---|
| Domein- of forest-AD-beheerder | Hiermee maakt u het serviceaccount op domeinniveau dat wordt gebruikt door Microsoft Entra Connect om de synchronisatieservice uit te voeren. Zie Accounts en machtigingenvoor meer informatie over service-accounts. |
| SQL-beheerder | De ADSync-database wordt gecreëerd en inlog- en dbo-toegang wordt verleend aan de Microsoft Entra Connect-beheerder en het serviceaccount dat is ingesteld door de domein- en forestbeheerder. |
| Microsoft Entra Connect-beheerder | Installeert Microsoft Entra Connect en geeft het serviceaccount op tijdens de aangepaste installatie. |
Stappen voor het installeren van Microsoft Entra Connect met behulp van gedelegeerde SQL-machtigingen
Voer de volgende stappen uit om de database buiten de band in te richten en Microsoft Entra Connect te installeren met machtigingen van de database-eigenaar.
Notitie
Hoewel dit niet vereist is, wordt het ten zeerste aanbevolen dat de Latin1_General_CI_AS sortering wordt geselecteerd bij het maken van de database.
Laat de SQL-beheerder de ADSync-database maken met een niet-hoofdlettergevoelige sorteringsreeks (Latin1_General_CI_AS). Het herstelmodel, het compatibiliteitsniveau en het insluitingstype worden bijgewerkt naar de juiste waarden wanneer Microsoft Entra Connect is geïnstalleerd. De SQL-beheerder moet de sorteringsreeks echter juist instellen. Anders blokkeert Microsoft Entra Connect de installatie. Als u de SA wilt herstellen, moet u de database verwijderen en opnieuw maken.
Verdeel de Microsoft Entra Connect-beheerder en het domeinserviceaccount de volgende machtigingen:
- SQL-aanmelding
- database-eigenaar(dbo) rechten.
Notitie
Microsoft Entra Connect biedt geen ondersteuning voor aanmeldingen met een genest lidmaatschap. Dit betekent dat uw Microsoft Entra Connect-beheerdersaccount en domeinserviceaccount moeten worden gekoppeld aan een aanmelding waaraan dbo-rechten zijn verleend. Het kan niet zomaar een lid zijn van een groep die aan een login met dbo-rechten is toegewezen.
Stuur een e-mailbericht naar de Microsoft Entra Connect-beheerder die de SQL-server en de naam van het exemplaar aangeeft die moeten worden gebruikt bij de installatie van Microsoft Entra Connect.
Aanvullende informatie
Zodra de database is ingericht, kan de Microsoft Entra Connect-beheerder on-premises synchronisatie op hun gemak installeren en configureren.
Als de SQL-beheerder de ADSync-database van een vorige Back-up van Microsoft Entra Connect heeft hersteld, moet u de nieuwe Microsoft Entra Connect-server installeren met behulp van een bestaande database. Zie Microsoft Entra Connect installeren met een bestaande ADSync-databasevoor meer informatie over het installeren van Microsoft Entra Connect met een bestaande database.