Командлеты Microsoft Entra provisioning agent gMSA PowerShell
Цель этого документа — описать командлеты агента подготовки облака Microsoft Entra Connect gMSA PowerShell. Эти командлеты позволяют с большей точностью назначать привилегии, применяемые в учетной записи службы (gMSA). По умолчанию Microsoft Entra Cloud Sync применяет все разрешения, аналогичные Microsoft Entra Connect по умолчанию gMSA или пользовательской gMSA, во время установки агента подготовки облака.
В этом документе рассматриваются следующие командлеты:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
Как использовать командлеты:
Для использования этих командлетов необходимы выполнить следующие предварительные требования.
Установите агент подготовки.
Импорт модуля PowerShell агента подготовки в сеанс PowerShell.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Для этих командлетов требуется параметр
Credential, который можно передать; пользователь может увидеть запрос, если он не указан в командной строке. В зависимости от используемого синтаксиса командлета эти учетные данные должны представлять учетную запись администратора предприятия или, как минимум, администратора домена целевого домена, для которого вы устанавливаете разрешения.Чтобы создать переменную для учетных данных:
$credential = Get-CredentialЧтобы установить разрешения Active Directory для агента облачной подготовки, вы можете использовать следующий командлет. Это предоставит разрешения в корне домена, позволяющие учетной записи службы управлять локальными объектами Active Directory. Примеры по заданию прав доступа см. в разделе Использование командлета Set-AADCloudSyncPermissions ниже.
Set-AADCloudSyncPermissions -EACredential $credentialЧтобы ограничить разрешения Active Directory, установленные по умолчанию для учетной записи агента облачной подготовки, вы можете использовать следующий командлет. Это повысит безопасность учетной записи службы, отключив наследование разрешений и удалив все существующие разрешения, кроме SELF и разрешений полного доступа для администраторов. Примеры ограничения разрешений см. в разделе Использование командлета Set-AADCloudSyncRestrictedPermission ниже.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Использование командлета Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions поддерживает следующие типы прав доступа, которые идентичны правам доступа в классической синхронизации Azure AD Connect (ADSync). Поддерживаются следующие типы разрешений:
| Тип разрешения | Description |
|---|---|
| BasicRead | Просмотр разрешений BasicRead для Microsoft Entra Connect |
| PasswordHashSync | Дополнительные сведения о разрешениях PasswordHashSync для Microsoft Entra Connect |
| PasswordWriteBack | Просмотр разрешений PasswordWriteBack для Microsoft Entra Connect |
| HybridExchangePermissions | См. разрешения HybridExchangePermissions для Microsoft Entra Connect |
| ExchangeMailPublicFolderPermissions | Сведения о разрешениях ExchangeMailPublicFolderPermissions для Microsoft Entra Connect |
| UserGroupCreateDelete | Разрешения для подготовки группы microsoft Entra Cloud Sync в AD. Применяет "Создание и удаление объектов пользователей" для объекта "Этот объект и все потомки" и применяет "Создание и удаление объектов группы" для объекта "Этот объект и все объекты-потомки". |
| Все | Применяет все выше перечисленные разрешения |
Командлет AADCloudSyncPermissions можно использовать одним из двух способов:
- Предоставление разрешений для всех настроенных доменов
- Предоставление разрешений для определенного домена
Предоставление разрешений для всех настроенных доменов
Для предоставления определенных прав доступа всем настроенным доменам необходимо использовать учетную запись администратора предприятия.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Предоставление разрешений для определенного домена
Для предоставления определенных разрешений для определенного домена требуется использовать учетные данные TargetDomainCredential, которые представляют администратора предприятия или администратора домена целевого домена. TargetDomain необходимо заранее настроить с помощью мастера.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Использование Set-AADCloudSyncRestrictedPermissions
Для повышения безопасности Set-AADCloudSyncRestrictedPermissions ограничит разрешения, установленные для самой учетной записи агента облачной подготовки. Ограничение разрешений для учетной записи агента облачной подготовки включает следующие изменения:
Отключить наследование
Удаление всех разрешений по умолчанию, кроме ACE, относящихся к SELF.
Установите разрешения на полный доступ для SYSTEM, администраторов, администраторов домена и администраторов предприятия.
Установка разрешений на чтение для пользователей, прошедших проверку подлинности, и контроллеров домена предприятия.
Параметр -Credential требуется для указания учетной записи администратора, которая имеет необходимые привилегии для ограничения разрешений Active Directory для учетной записи агента облачной подготовки. Обычно это администратор домена или предприятия.
Пример:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential