Microsoft Entra Connect: Konfigurowanie uprawnień konta łącznika AD DS
Moduł programu PowerShell o nazwie ADSyncConfig.psm1 został wprowadzony z kompilacją 1.1.880.0 (wydaną w sierpniu 2018 r.), która zawiera kolekcję poleceń cmdlet ułatwiających skonfigurowanie odpowiednich uprawnień usługi Active Directory dla wdrożenia programu Microsoft Entra Connect.
Omówienie
Następujące polecenia cmdlet programu PowerShell mogą służyć do konfigurowania uprawnień usługi Active Directory konta łącznika usług AD DS dla każdej wybranej funkcji do włączenia w programie Microsoft Entra Connect. Aby zapobiec wszelkim problemom, należy przygotować uprawnienia usługi Active Directory z wyprzedzeniem za każdym razem, gdy chcesz zainstalować program Microsoft Entra Connect przy użyciu niestandardowego konta domeny w celu nawiązania połączenia z lasem. Ten moduł ADSyncConfig może również służyć do konfigurowania uprawnień po wdrożeniu programu Microsoft Entra Connect.
W przypadku instalacji programu Microsoft Entra Connect Express automatycznie wygenerowane konto (MSOL_nnnnnnnnnn) jest tworzone w usłudze Active Directory z wszystkimi niezbędnymi uprawnieniami. Nie musisz używać tego modułu ADSyncConfig, chyba że masz zablokowane dziedziczenie uprawnień w jednostkach organizacyjnych lub na określonych obiektach usługi Active Directory, które chcesz zsynchronizować z identyfikatorem Entra firmy Microsoft.
Podsumowanie uprawnień
Poniższa tabela zawiera podsumowanie uprawnień wymaganych w obiektach usługi AD:
| Funkcja | Uprawnienia |
|---|---|
| Funkcja ms-DS-ConsistencyGuid | Uprawnienia do odczytu i zapisu atrybutu ms-DS-ConsistencyGuid są opisane w Dokumentacji koncepcyjnej — użycie ms-DS-ConsistencyGuid jako sourceAnchor. |
| Synchronizacja hashów haseł | |
| Wdrożenie hybrydowe programu Exchange | Uprawnienia do odczytu i zapisu do atrybutów udokumentowanych w funkcji zapisywania zwrotnego hybrydowego programu Exchange dla użytkowników, grup i kontaktów. |
| Folder publiczny poczty programu Exchange | Uprawnienia do odczytu atrybutów udokumentowanych w Publicznym Folderze Poczty Exchange dla folderów publicznych. |
| Zapisywanie zwrotne haseł | Uprawnienia do odczytu i zapisu atrybutów opisanych w artykule Wprowadzenie do zarządzania hasłami dla użytkowników. |
| Zapisywanie zwrotne urządzeń | Uprawnienia do odczytu i zapisu obiektów urządzeń i kontenerów w dokumentacji zapisu zwrotnego urządzeń. |
| Zapisywanie zwrotne grup | Odczytywanie, tworzenie, aktualizowanie i usuwanie obiektów grup dla zsynchronizowanych grup usługi Office 365. |
Korzystanie z modułu ADSyncConfig programu PowerShell
Moduł ADSyncConfig wymaga narzędzi administracji zdalnej serwera (RSAT) dla usług AD DS , ponieważ zależy od modułu i narzędzi programu PowerShell usług AD DS. Aby zainstalować narzędzie RSAT dla usług AD DS, otwórz okno programu Windows PowerShell z poleceniem "Uruchom jako administrator" i wykonaj następujące czynności:
Install-WindowsFeature "RSAT-AD-Tools"
Uwaga
Możesz również skopiować plik C:\Program Files\Microsoft Entra Connect\AdSyncConfig\ADSyncConfig.psm1 do kontrolera domeny, który ma już zainstalowane narzędzie RSAT dla usług AD DS i użyj tego modułu programu PowerShell. Należy pamiętać, że niektóre polecenia cmdlet można uruchamiać tylko na komputerze hostujący program Microsoft Entra Connect.
Aby rozpocząć korzystanie z polecenia ADSyncConfig, należy załadować moduł w oknie programu Windows PowerShell:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Aby sprawdzić wszystkie polecenia cmdlet zawarte w tym module, możesz wpisać:
Get-Command -Module AdSyncConfig
Każdy cmdlet ma te same parametry do wprowadzenia konta łącznika AD DS oraz przełącznik AdminSDHolder. Aby określić konto łącznika usług AD DS, możesz podać nazwę konta i domenę lub tylko nazwę wyróżniającą konta (DN),
Na przykład:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
lub;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Pamiętaj, aby zastąpić <ADAccountName>, <ADDomainName> i <ADAccountDN> odpowiednimi wartościami dla danego środowiska.
Jeśli chcesz zmodyfikować uprawnienia w kontenerze AdminSDHolder, użyj przełącznika -IncludeAdminSdHolders. Nie jest to zalecane.
Domyślnie wszystkie polecenia cmdlet dotyczące uprawnień próbują ustawić uprawnienia usług AD DS w katalogu głównym każdej domeny w lesie katalogowym, co oznacza, że użytkownik, który uruchamia sesję PowerShell, wymaga uprawnień administratora domeny w każdej domenie w lesie katalogowym. Ze względu na to wymaganie zaleca się użycie Administratora Przedsiębiorstwa z katalogu głównego lasu. Jeśli wdrożenie programu Microsoft Entra Connect ma wiele łączników AD DS, należy uruchomić to samo polecenie cmdlet w każdym lesie, który ma łącznik AD DS.
Można również ustawić uprawnienia dla określonego obiektu jednostki organizacyjnej lub obiektu usługi AD DS, używając parametru -ADobjectDN wraz z DN obiektu docelowego, w którym chcesz ustawić uprawnienia. W przypadku korzystania z docelowej nazwy ADobjectDN polecenie cmdlet ustawia uprawnienia tylko dla tego obiektu, a nie w katalogu głównym domeny lub kontenerze AdminSDHolder. Ten parametr może być użyteczny, gdy masz pewne jednostki organizacyjne lub obiekty usług katalogowych AD DS, które mają wyłączone dziedziczenie uprawnień (zobacz Lokalizowanie obiektów usług katalogowych AD DS z wyłączonym dziedziczeniem uprawnień)
Wyjątki od tych typowych parametrów to polecenie cmdlet Set-ADSyncRestrictedPermissions, które służy do ustawiania uprawnień na koncie łącznika usług AD DS, a polecenie cmdlet Set-ADSyncPasswordHashSyncPermissions, ponieważ uprawnienia wymagane do synchronizacji skrótów haseł są ustawiane tylko w katalogu głównym domeny, dlatego to polecenie cmdlet nie zawiera -ObjectDN lub -IncludeAdminSdHolders parametrów.
Określ swoje konto łącznika AD DS
Jeśli program Microsoft Entra Connect jest już zainstalowany i chcesz sprawdzić, jakie konto łącznika usług AD DS jest obecnie używane przez program Microsoft Entra Connect, możesz wykonać polecenie cmdlet:
Get-ADSyncADConnectorAccount
Znajdź obiekty usług AD DS z wyłączonym dziedziczeniem uprawnień
Jeśli chcesz sprawdzić, czy istnieje jakikolwiek obiekt usług AD DS z wyłączonym dziedziczeniem uprawnień, możesz uruchomić komendę:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
Domyślnie to polecenie cmdlet wyszukuje tylko jednostki organizacyjne z wyłączonym dziedziczeniem, ale można określić inne klasy obiektów usług AD DS w parametrze -ObjectClass lub użyć "*" dla wszystkich klas obiektów w następujący sposób:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Wyświetlanie uprawnień usług AD DS obiektu
Możesz użyć następującego polecenia cmdlet, aby wyświetlić listę uprawnień aktualnie ustawionych w obiekcie usługi Active Directory, podając jego nazwę DistinguishedName:
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
Konfigurowanie uprawnień konta łącznika AD DS
Konfigurowanie podstawowych uprawnień tylko do odczytu
Aby ustawić podstawowe uprawnienia tylko do odczytu dla konta łącznika usług AD DS, gdy nie jest używana żadna funkcja Microsoft Entra Connect, uruchom polecenie:
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
lub;
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawia następujące uprawnienia:
| Rodzaj | Nazwisko | Dostęp | Dotyczy czego |
|---|---|---|---|
| Zezwól | Konto łącznika AD DS | Odczytaj wszystkie właściwości | Obiekty urządzenia podrzędnego |
| Zezwól | Konto konektora AD DS | Odczytaj wszystkie właściwości | Obiekty potomne InetOrgPerson |
| Pozwól | Konto łącznika usług AD DS | Odczytaj wszystkie właściwości | Obiekty komputera podrzędnego |
| Zezwól | Konto konektora usług AD DS | Przeczytaj wszystkie właściwości | Obiekty podrzędne foreignSecurityPrincipal |
| Zezwalaj | Konto łącznika usług AD DS | Przeczytaj wszystkie właściwości | Obiekty grupy podrzędnej |
| Zezwól | Konto połączeniowe AD DS | Odczytaj wszystkie właściwości | Obiekty użytkownika podrzędnego |
| Zezwól | Konto połączeniowe AD DS | Odczytaj wszystkie właściwości | Obiekty kontaktów potomnych |
| Zezwalaj | Konto łącznika AD DS | Replikowanie zmian katalogu | Ten obiekt (tylko korzeń domeny) |
Konfigurowanie uprawnień MS-DS-Consistency-Guid
Aby ustawić uprawnienia dla konta łącznika usług AD DS podczas korzystania z atrybutu ms-Ds-Consistency-Guid jako kotwicy źródłowej (znanej również jako "Zezwalaj platformie Azure na zarządzanie kotwicą źródłową dla mnie"), uruchom polecenie:
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
lub;
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawia następujące uprawnienia:
| Rodzaj | Nazwisko | Dostęp | Dotyczy |
|---|---|---|---|
| Zezwól | Konto konektora usług AD DS | Właściwość Odczyt/Zapis | Obiekty użytkownika podrzędnego |
Uprawnienia do synchronizacji skrótów haseł
Aby ustawić uprawnienia dla konta łącznika usług AD DS podczas korzystania z synchronizacji skrótów haseł, uruchom polecenie:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
lub;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
To polecenie cmdlet ustawia następujące uprawnienia:
| Typ | Nazwisko | Dostęp | Dotyczy |
|---|---|---|---|
| Zezwól | Konto łącznika usług AD DS | Replikowanie zmian katalogu | Tylko ten obiekt (katalog główny domeny) |
| Zezwól | Konto konektora AD DS | Replikowanie wszystkich zmian katalogu | Tylko ten obiekt (korzeń domeny) |
Uprawnienia do przywracania i zapisywania haseł
Aby ustawić uprawnienia dla konta AD DS Connector podczas korzystania ze zwrotnego zapisywania haseł, uruchom polecenie:
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
lub;
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawia następujące uprawnienia:
| Typ | Nazwisko | Dostęp | Dotyczy |
|---|---|---|---|
| Zezwól | Konto konektora usług AD DS | Resetuj hasło | Obiekty użytkownika podrzędnego |
| Zezwól | Konto łącznika usług AD DS | Ustaw właściwość lockoutTime | Obiekty użytkownika podrzędnego |
| Zezwól | Konto łącznika AD DS | Wpisz właściwość pwdLastSet | Obiekty użytkownika podrzędnego |
Uprawnienia do zwrotnego zapisu grup
Aby ustawić uprawnienia dla konta łącznika AD DS podczas korzystania z funkcji zwrotnego zapisu grup, uruchom polecenie:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
lub;
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawia następujące uprawnienia:
| Rodzaj | Nazwisko | Dostęp | Dotyczy |
|---|---|---|---|
| Zezwalaj | Konto łącznika usług AD DS | Ogólny odczyt/zapis | Wszystkie atrybuty grupy typów obiektów i podobiektów |
| Zezwól | Konto łącznika AD DS | Tworzenie/usuwanie obiektu podrzędnego | Wszystkie atrybuty grupy typów obiektów i podobiektów |
| Zezwól | Konto łącznika usług AD DS | Usuń/Usuń obiekty drzewa | Wszystkie atrybuty grupy typów obiektów i podobiektów |
Uprawnienia do wdrożenia hybrydowego programu Exchange
Aby ustawić uprawnienia dla konta łącznika usług AD DS podczas korzystania z wdrożenia hybrydowego programu Exchange, uruchom polecenie:
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
lub;
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawia następujące uprawnienia:
| Typ | Nazwisko | Dostęp | Dotyczy |
|---|---|---|---|
| Zezwól | Konto łącznika Active Directory Domain Services (AD DS) | Odczytywanie/zapisywanie wszystkich właściwości | Obiekty użytkownika podrzędnego |
| Zezwól | Konto łącznika usług AD DS | Odczytywanie/zapisywanie wszystkich właściwości | Obiekty potomne typu InetOrgPerson |
| Zezwól | Konto łącznika usług AD DS | Odczytywanie/zapisywanie wszystkich właściwości | Obiekty grupy podrzędnej |
| Zezwól | Konto łącznika usług AD DS | Odczytywanie/zapisywanie wszystkich właściwości | Obiekty kontaktów potomnych |
Uprawnienia do folderów publicznych poczty programu Exchange
Aby ustawić uprawnienia dla konta łącznika usług AD DS w przypadku korzystania z funkcji Folderów publicznych poczty programu Exchange, uruchom polecenie:
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
lub;
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
To polecenie cmdlet ustawia następujące uprawnienia:
| Typ | Nazwisko | Dostęp | Dotyczy |
|---|---|---|---|
| Zezwól | Konto łącznika AD DS | Odczytaj wszystkie właściwości | Obiekty podrzędne FolderuPublicznego |
Ogranicz uprawnienia na koncie łącznika usług AD DS
Ten skrypt programu PowerShell zaostrza uprawnienia dla konta łącznika AD podanego jako parametr. Zaostrzenie uprawnień obejmuje następujące kroki:
Wyłączanie dziedziczenia dla określonego obiektu
Usuń wszystkie ACE dla określonego obiektu, z wyjątkiem ACE specyficznych dla SIEBIE, ponieważ chcemy zachować domyślne uprawnienia nienaruszone, jeśli chodzi o SIEBIE.
Parametr
-ADConnectorAccountDNto konto usługi AD, którego uprawnienia należy zaostrzyć. Zazwyczaj jest to konto domeny MSOL_nnnnnnnnnnnn skonfigurowane w łączniku usług AD DS (zobacz Określanie konta łącznika usług AD DS). Parametr-Credentialjest niezbędny do określenia konta administratora, które ma uprawnienia niezbędne do ograniczenia uprawnień usługi Active Directory dla docelowego obiektu usługi AD (to konto musi być inne niż konto ADConnectorAccountDN). Zazwyczaj jest to administrator przedsiębiorstwa lub domeny.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Na przykład:
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
To polecenie cmdlet ustawia następujące uprawnienia:
| Typ | Nazwisko | Dostęp | Ma zastosowanie do |
|---|---|---|---|
| Zezwól | SYSTEM | Pełna kontrola | Ten obiekt |
| Zezwól | Administratorzy Przedsiębiorstw | Pełna kontrola | Ten obiekt |
| Zezwól | Administratorzy domeny | Pełna kontrola | Ten obiekt |
| Zezwól | Administratorzy | Pełna kontrola | Ten obiekt |
| Zezwól | Kontrolery domeny przedsiębiorstwa | Zawartość listy | Ten obiekt |
| Zezwól | Kontrolery domeny przedsiębiorstwa | Odczytaj wszystkie właściwości | Ten obiekt |
| Zezwalaj | Kontrolery domeny przedsiębiorstwa | Uprawnienia do odczytu | Ten obiekt |
| Zezwolić | Uwierzytelnieni użytkownicy | Zawartość listy | Ten obiekt |
| Zezwól | Uwierzytelnieni użytkownicy | Przeczytaj wszystkie właściwości | Ten obiekt |
| Zezwól | Uwierzytelnieni użytkownicy | Uprawnienia do odczytu | Ten obiekt |