使用 SQL 委派的管理员权限安装 Microsoft Entra Connect
在最新版本的 Microsoft Entra Connect 发布之前,当部署需要 SQL 的配置时,不支持管理委派。 想要安装 Microsoft Entra Connect 的用户需要在 SQL Server 上拥有服务器管理员(SA)权限。
使用最新版本的 Microsoft Entra Connect,SQL 管理员现在可以预配带外的数据库,Microsoft Entra Connect 管理员可以使用数据库所有者权限安装数据库。
准备阶段
若要使用此功能,需要意识到有多个移动部件,每个部件可能涉及组织中的不同管理员。 下表总结了使用此功能部署 Microsoft Entra Connect 的各个角色及其各自的职责。
| 角色 | 描述 |
|---|---|
| 域或林 AD 管理员 | 创建由 Microsoft Entra Connect 用来运行同步服务的域级服务帐户。 有关服务帐户的详细信息,请参阅 帐户和权限。 |
| SQL 管理员 | 创建 ADSync 数据库,授予登录 + dbo 访问权限给 Microsoft Entra Connect 管理员以及域/林管理员创建的服务帐户。 |
| Microsoft Entra Connect 管理员 | 安装 Microsoft Entra Connect 并在自定义安装期间指定服务帐户。 |
使用 SQL 委派权限安装 Microsoft Entra Connect 的步骤
若要使用数据库所有者权限预配带外数据库并安装 Microsoft Entra Connect,请使用以下步骤。
注意
强烈建议在创建数据库时选择 Latin1_General_CI_AS 排序规则,虽然这不是必需的。
让 SQL 管理员使用不区分大小写的合并序列 (Latin1_General_CI_AS) 创建 ADSync 数据库。 安装 Microsoft Entra Connect 时,恢复模式、兼容性级别和包含类型将更新为正确的值。 但是,SQL 管理员必须正确设置合并序列。 否则,Microsoft Entra Connect 会阻止安装。 若要进行恢复,SA 必须删除并重新创建数据库。
向 Microsoft Entra Connect 管理员和域服务帐户授予以下权限:
- SQL 登录
- 数据库所有者 (dbo) 权限。
注意
Microsoft Entra Connect 不支持具有嵌套成员身份的登录名。 这意味着你的 Microsoft Entra Connect 管理员帐户和域服务帐户必须关联到一个已授予了 dbo 权限的登录名。 它不能仅仅是已分配给某个登录名(具有 dbo 权限)的组的成员。
向 Microsoft Entra Connect 管理员发送电子邮件,指示安装 Microsoft Entra Connect 时应使用的 SQL Server 和实例名称。
其他信息
预配数据库后,Microsoft Entra Connect 管理员可以在方便时安装和配置本地同步。
如果 SQL 管理员已从以前的Microsoft Entra Connect 备份还原 ADSync 数据库,则需要使用现有数据库安装新的 Microsoft Entra Connect 服务器。 有关使用现有数据库安装 Microsoft Entra Connect 的详细信息,请参阅 使用现有 ADSync 数据库安装 Microsoft Entra Connect。
后续步骤
- 通过快速设置开始使用 Microsoft Entra Connect
- Microsoft Entra Connect 的自定义安装
- 使用现有 ADSync 数据库 安装 Microsoft Entra Connect