Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Модуль ADSyncConfig.psm1 PowerShell был представлен с сборкой 1.1.880.0 (выпущенной в августе 2018 г.), которая содержит коллекцию командлетов, которые помогут вам настроить правильные разрешения Active Directory для развертывания Microsoft Entra Connect.
Обзор
Следующие командлеты PowerShell можно использовать для настройки разрешений Active Directory учетной записи соединителя AD DS для каждой функции, выбранной для включения в Microsoft Entra Connect. Чтобы предотвратить любые проблемы, необходимо заранее подготовить разрешения Active Directory, когда вы хотите установить Microsoft Entra Connect с помощью учетной записи личного домена для подключения к лесу. Этот модуль ADSyncConfig также можно использовать для настройки разрешений после развертывания Microsoft Entra Connect.
Для установки Microsoft Entra Connect Express создается автоматически созданная учетная запись (MSOL_nnnnnnnnnn) в Active Directory со всеми необходимыми разрешениями. Этот модуль ADSyncConfig не требуется использовать, если у вас нет заблокированных разрешений наследования в подразделениях или определенных объектах Active Directory, которые требуется синхронизировать с идентификатором Microsoft Entra.
Сводка разрешений
Следующая таблица предоставляет сводку разрешений, необходимых для объектов AD:
| Функция | Разрешения |
|---|---|
| функция ms-DS-ConsistencyGuid | Разрешения на чтение и запись для атрибута ms-DS-ConsistencyGuid описаны в Принципы проектирования - Использование ms-DS-ConsistencyGuid в качестве sourceAnchor. |
| Синхронизация хэша паролей | |
| Гибридное развертывание Exchange | Разрешения на чтение и запись для атрибутов, описанных в статье Гибридная обратная запись Exchange для пользователей, групп и контактов. |
| Общедоступная папка почты Exchange | Разрешения на чтение для атрибутов, документированных в Exchange Mail Public Folder, для общедоступных папок. |
| Обратная запись паролей | Разрешения на чтение и запись для атрибутов, описанных в статье Приступая к работе с компонентами управления паролями для пользователей. |
| Обратная запись устройств | Разрешения на чтение и запись к объектам и контейнерам устройства, задокументированные в обратной записи устройства. |
| Обратная запись групп | Чтение, создание, обновление и удаление объектов групп для синхронизированных групп Office 365. |
Использование модуля ADSyncConfig PowerShell
Модулю ADSyncConfig необходимы средства удаленного администрирования сервера (RSAT) для AD DS, поскольку он зависит от модуля PowerShell для AD DS и средств. Чтобы установить средства удаленного администрирования сервера (RSAT) для AD DS, откройте окно Windows PowerShell в режиме 'Запуск от имени администратора' и выполните:
Install-WindowsFeature "RSAT-AD-Tools"
Примечание.
Вы также можете скопировать файл C:\Program Files\Microsoft Entra Connect\AdSyncConfig\ADSyncConfig.psm1 в контроллер домена, который уже установлен RSAT для AD DS и использует этот модуль PowerShell. Помните, что некоторые командлеты можно запускать только на компьютере, на котором установлен Microsoft Entra Connect.
Чтобы приступить к использованию ADSyncConfig, необходимо загрузить модуль в окно Windows PowerShell:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Для проверки всех командлетов этого модуля введите:
Get-Command -Module AdSyncConfig
Каждый командлет имеет те же параметры для ввода учетной записи соединителя AD DS и коммутатора AdminSDHolder. Чтобы указать учетную запись соединителя AD DS, можно предоставить имя учетной записи и домен или только различающееся имя (DN) учетной записи.
Например:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
Или;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Обязательно замените <ADAccountName>, <ADDomainName> и <ADAccountDN> соответствующими значениями для вашей среды.
Если вы хотите изменить разрешения для контейнера AdminSDHolder, используйте параметр -IncludeAdminSdHolders. Это не рекомендуется.
По умолчанию все командлеты для установки разрешений пытаются задать разрешения AD DS на корень каждого домена в лесах, то есть пользователю, выполняющему сеанс PowerShell, требуются права администратора домена на каждом домене в лесу. Из-за этого требования рекомендуется использовать администратора предприятия из корневого домена леса. Если в развертывании Microsoft Entra Connect есть несколько соединителей AD DS, необходимо выполнить один и тот же командлет в каждом лесу с соединителем AD DS.
Можно также задать разрешения на конкретном объекте организации или объекте AD DS, используя параметр -ADobjectDN, за которым следует DN целевого объекта, где вы хотите задать разрешения. При использовании целевого ADobjectDN командлет устанавливает разрешения только на этот объект, а не на корневой каталог домена или контейнер AdminSDHolder. Этот параметр может быть полезным, если у вас есть некоторые подразделения или объекты AD DS, в которых отключено наследование разрешений (см. в разделе "Размещение объектов AD DS с отключенным наследованием разрешений")
Исключениями для этих распространенных параметров являются командлет Set-ADSyncRestrictedPermissions, который используется для задания разрешений для самой учетной записи соединителя AD DS, и командлет Set-ADSyncPasswordHashSyncPermissions, так как разрешения, необходимые для синхронизации хэша паролей, задаются только в корневом каталоге домена, поэтому этот командлет не включает параметры -ObjectDN или -IncludeAdminSdHolders.
Определите свою учетную запись соединителя AD DS
Если Microsoft Entra Connect уже установлен и вы хотите проверить, какая учетная запись соединителя AD DS в настоящее время используется Microsoft Entra Connect, можно выполнить командлет:
Get-ADSyncADConnectorAccount
Найдите объекты AD DS с отключенным наследованием разрешений
Если вы хотите проверить, отключен ли какой-либо объект AD DS с наследованием разрешений, можно выполнить следующее:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
По умолчанию этот командлет ищет только организационные единицы с отключённым наследованием, но вы можете указать другие классы объектов AD DS в параметре -ObjectClass или использовать "*" для всех классов объектов следующим образом:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Просмотр разрешений AD DS объекта
Для просмотра списка разрешений, установленных в данный момент для объекта Active Directory, можно использовать командлет, указав его Различающееся имя:
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
Настройка разрешений учетной записи соединителя AD DS
Настройка основных разрешения только для чтения
Чтобы задать базовые разрешения только для чтения для учетной записи соединителя AD DS, если не используется ни одной функции Microsoft Entra Connect, выполните следующую команду:
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Или;
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Применимо к |
|---|---|---|---|
| Разрешить | Учетная запись соединителя AD DS | Прочитать все свойства | Дочерние объекты устройств |
| Разрешить | Учетная запись соединителя AD DS | Прочитать все свойства | Дочерние объекты InetOrgPerson |
| Разрешить | Учетная запись соединителя AD DS | Прочитать все свойства | Дочерние объекты компьютера |
| Разрешить | Учетная запись соединителя AD DS | Прочитать все свойства | Объекты-потомки foreignSecurityPrincipal |
| Разрешить | Учетная запись соединителя AD DS | Прочитать все свойства | Группа объектов-наследников |
| Разрешить | Учетная запись соединителя AD DS | Прочитать все свойства | Потомки объектов типа "Пользователь" |
| Разрешить | Учетная запись соединителя AD DS | Прочитать все свойства | Дочерние объекты контакта |
| Разрешить | Учетная запись соединителя AD DS | Репликация изменений каталога | Только этот объект (корневой домен) |
Настройте разрешения MS-DS-Consistency-Guid
Чтобы установить разрешения для учетной записи соединителя AD DS при использовании атрибута ms-Ds-Consistency-Guid в качестве привязки к источнику (параметр "Позволить Azure управлять привязкой к источнику от моего имени"), запустите:
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Или;
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Применимо к |
|---|---|---|---|
| Разрешить | Учетная запись соединителя AD DS | Свойство чтения/записи | Потомки объектов типа "Пользователь" |
Разрешения для синхронизации хэшей пароля
Чтобы задать разрешения для учетной записи соединителя AD DS при использовании синхронизации хэша паролей, запустите:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
Или;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Применимо к |
|---|---|---|---|
| Разрешить | Учетная запись соединителя AD DS | Репликация изменений каталога | Только этот объект (корневой домен) |
| Разрешить | Учетная запись соединителя AD DS | Репликация всех изменений в каталоге | Только этот объект (корневой домен) |
Разрешения для обратной записи паролей
Чтобы задать разрешения для учетной записи соединителя AD DS при использовании функции обратной записи паролей, запустите:
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Или;
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Применимо к |
|---|---|---|---|
| Разрешить | Учетная запись соединителя AD DS | Сброс пароля | Потомки объектов типа "Пользователь" |
| Разрешить | Учетная запись соединителя AD DS | Установить свойство «lockoutTime» | Потомки объектов типа "Пользователь" |
| Разрешить | Учетная запись соединителя AD DS | Записать свойство pwdLastSet | Потомки объектов типа "Пользователь" |
Разрешения для обратной записи групп
Чтобы задать разрешения для учетной записи соединителя AD DS при использовании обратной записи групп, запустите:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Или;
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Применимо к |
|---|---|---|---|
| Разрешить | Учетная запись соединителя AD DS | Универсальное чтение/запись | Все атрибуты группы типов объектов и дочерних объектов |
| Разрешить | Учетная запись соединителя AD DS | Создать/удалить дочерний объект | Все атрибуты группы типов объектов и дочерних объектов |
| Разрешить | Учетная запись соединителя AD DS | Удалить/Удалить объекты дерева | Все атрибуты группы типов объектов и дочерних объектов |
Разрешения для гибридного развертывания Exchange
Чтобы задать разрешения для учетной записи соединителя AD DS при использовании гибридного развертывания Exchange, запустите:
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Или;
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Применимо к |
|---|---|---|---|
| Разрешить | Учетная запись соединителя AD DS | Чтение/запись всех свойств | Потомки объектов типа "Пользователь" |
| Разрешить | Учетная запись соединителя AD DS | Чтение/запись всех свойств | Дочерние объекты InetOrgPerson |
| Разрешить | Учетная запись соединителя AD DS | Чтение/запись всех свойств | Группа объектов-наследников |
| Разрешить | Учетная запись соединителя AD DS | Чтение/запись всех свойств | Дочерние объекты контакта |
Разрешения для общедоступных папок почты Exchange
Чтобы задать разрешения для учетной записи соединителя AD DS при использовании общедоступных папок почты Exchange, запустите:
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Или;
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Применимо к |
|---|---|---|---|
| Разрешить | Учетная запись соединителя AD DS | Прочитать все свойства | Дочерние объекты PublicFolder |
Ограничение разрешений учетной записи соединителя AD DS
Этот скрипт PowerShell ужесточает разрешения для учетной записи соединителя AD, предоставленной в качестве параметра. Сужение разрешения включает следующие шаги:
Отключение наследования для указанного объекта.
Удалите все элементы управления доступом (ACEs) на конкретном объекте, кроме тех, которые специфичны для SELF, так как мы хотим сохранить разрешения по умолчанию, касающиеся SELF, без изменений.
Параметр
-ADConnectorAccountDN— это учетная запись AD, разрешения которой необходимо ужесточить. Обычно это учетная запись домена MSOL_nnnnnnnnnnnn, настроенная в соединителе AD DS (см. Как определить учетную запись соединителя AD DS). Параметр-Credentialнеобходим, чтобы указать учетную запись администратора с необходимыми привилегиями для ограничения разрешений Active Directory для целевого объекта AD (эта учетная запись должна отличаться от учетной записи ADConnectorAccountDN). Обычно это администратор предприятия или домена.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Пример:
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Применимо к |
|---|---|---|---|
| Разрешить | СИСТЕМА | Полный доступ | этот объект |
| Разрешить | Администраторы предприятия | Полный доступ | этот объект |
| Разрешить | Администраторы домена | Полный доступ | этот объект |
| Разрешить | Администраторы | Полный доступ | этот объект |
| Разрешить | Контроллеры домена предприятия | Список содержимого | этот объект |
| Разрешить | Контроллеры домена предприятия | Прочитать все свойства | этот объект |
| Разрешить | Контроллеры домена предприятия | Разрешения на чтение | этот объект |
| Разрешить | Пользователи, прошедшие проверку подлинности | Список содержимого | этот объект |
| Разрешить | Пользователи, прошедшие проверку подлинности | Прочитать все свойства | этот объект |
| Разрешить | Пользователи, прошедшие проверку подлинности | Разрешения на чтение | этот объект |