Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Модуль ADSyncConfig.psm1 PowerShell был представлен с сборкой 1.1.880.0 (выпущенной в августе 2018 г.), которая содержит коллекцию командлетов, которые помогут вам настроить правильные разрешения Active Directory для развертывания Microsoft Entra Connect.
Обзор
Следующие командлеты PowerShell можно использовать для настройки разрешений Active Directory учетной записи соединителя AD DS для каждой функции, выбранной для включения в Microsoft Entra Connect. Чтобы предотвратить любые проблемы, необходимо заранее подготовить разрешения Active Directory, когда вы хотите установить Microsoft Entra Connect с помощью учетной записи личного домена для подключения к лесу. Этот модуль ADSyncConfig также можно использовать для настройки разрешений после развертывания Microsoft Entra Connect.
Для установки Microsoft Entra Connect Express создается автоматически созданная учетная запись (MSOL_nnnnnnnnnn) в Active Directory со всеми необходимыми разрешениями. Этот модуль ADSyncConfig не требуется использовать, если у вас нет заблокированных разрешений наследования в подразделениях или определенных объектах Active Directory, которые требуется синхронизировать с идентификатором Microsoft Entra.
Сводка разрешений
Следующая таблица предоставляет сводку разрешений, необходимых для объектов AD:
| Функция | Разрешения |
|---|---|
| ms-DS-ConsistencyGuid feature | Разрешения на чтение и запись для атрибута ms-DS-ConsistencyGuid описаны в Принципы проектирования - Использование ms-DS-ConsistencyGuid в качестве sourceAnchor. |
| Синхронизация хэша паролей | |
| Гибридное развертывание Exchange | Разрешения на чтение и запись для атрибутов, описанных в статье Гибридная обратная запись Exchange для пользователей, групп и контактов. |
| Общедоступная папка почты Exchange | Разрешения на чтение для атрибутов, документированных в Exchange Mail Public Folder, для общедоступных папок. |
| Обратная запись паролей | Разрешения на чтение и запись для атрибутов, описанных в статье Приступая к работе с компонентами управления паролями для пользователей. |
| Device writeback | Read and Write permissions to device objects and containers documented in device writeback. |
| Group writeback | Чтение, создание, обновление и удаление объектов групп для синхронизированных групп Office 365. |
Использование модуля ADSyncConfig PowerShell
Модулю ADSyncConfig необходимы средства удаленного администрирования сервера (RSAT) для AD DS, поскольку он зависит от модуля PowerShell для AD DS и средств. Чтобы установить средства удаленного администрирования сервера (RSAT) для AD DS, откройте окно Windows PowerShell в режиме 'Запуск от имени администратора' и выполните:
Install-WindowsFeature "RSAT-AD-Tools"
Примечание.
Вы также можете скопировать файл C:\Program Files\Microsoft Entra Connect\AdSyncConfig\ADSyncConfig.psm1 в контроллер домена, который уже установлен RSAT для AD DS и использует этот модуль PowerShell. Be aware that some of the cmdlets can only be run on the computer that is hosting Microsoft Entra Connect.
Чтобы приступить к использованию ADSyncConfig, необходимо загрузить модуль в окно Windows PowerShell:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
To check all the cmdlets included in this module you can type:
Get-Command -Module AdSyncConfig
Each cmdlet has the same parameters to input the AD DS Connector Account and an AdminSDHolder switch. Чтобы указать учетную запись соединителя AD DS, можно предоставить имя учетной записи и домен или только различающееся имя (DN) учетной записи.
Например:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
Or;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Обязательно замените <ADAccountName>, <ADDomainName> и <ADAccountDN> соответствующими значениями для вашей среды.
Если вы хотите изменить разрешения для контейнера AdminSDHolder, используйте параметр -IncludeAdminSdHolders. Это не рекомендуется.
По умолчанию все командлеты для установки разрешений пытаются задать разрешения AD DS на корень каждого домена в лесах, то есть пользователю, выполняющему сеанс PowerShell, требуются права администратора домена на каждом домене в лесу. Because of this requirement, it is recommended to use an Enterprise Administrator from the Forest root. If your Microsoft Entra Connect deployment has multiple AD DS Connectors, it's required to run the same cmdlet on each forest that has an AD DS Connector.
You can also set permissions on a specific OU or AD DS object by using the parameter -ADobjectDN followed by the DN of the target object where you want to set permissions. При использовании целевого ADobjectDN командлет устанавливает разрешения только на этот объект, а не на корневой каталог домена или контейнер AdminSDHolder. Этот параметр может быть полезным, если у вас есть некоторые подразделения или объекты AD DS, в которых отключено наследование разрешений (см. в разделе "Размещение объектов AD DS с отключенным наследованием разрешений")
Исключениями для этих распространенных параметров являются командлет Set-ADSyncRestrictedPermissions, который используется для задания разрешений для самой учетной записи соединителя AD DS, и командлет Set-ADSyncPasswordHashSyncPermissions, так как разрешения, необходимые для синхронизации хэша паролей, задаются только в корневом каталоге домена, поэтому этот командлет не включает параметры -ObjectDN или -IncludeAdminSdHolders.
Determine your AD DS Connector Account
In case Microsoft Entra Connect is already installed and you want to check what is the AD DS Connector Account currently in use by Microsoft Entra Connect, you can execute the cmdlet:
Get-ADSyncADConnectorAccount
Найдите объекты AD DS с отключенным наследованием разрешений
Если вы хотите проверить, отключен ли какой-либо объект AD DS с наследованием разрешений, можно выполнить следующее:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
По умолчанию этот командлет ищет только организационные единицы с отключённым наследованием, но вы можете указать другие классы объектов AD DS в параметре -ObjectClass или использовать "*" для всех классов объектов следующим образом:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Просмотр разрешений AD DS объекта
Для просмотра списка разрешений, установленных в данный момент для объекта Active Directory, можно использовать командлет, указав его Различающееся имя:
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
Настройка разрешений учетной записи соединителя AD DS
Настройка основных разрешения только для чтения
Чтобы задать базовые разрешения только для чтения для учетной записи соединителя AD DS, если не используется ни одной функции Microsoft Entra Connect, выполните следующую команду:
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Or;
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Applies To |
|---|---|---|---|
| Allow | AD DS Connector Account | Read all properties | Descendant device objects |
| Allow | AD DS Connector Account | Read all properties | Descendant InetOrgPerson objects |
| Allow | AD DS Connector Account | Read all properties | Descendant Computer objects |
| Allow | AD DS Connector Account | Read all properties | Descendant foreignSecurityPrincipal objects |
| Allow | AD DS Connector Account | Read all properties | Descendant Group objects |
| Allow | AD DS Connector Account | Read all properties | Descendant User objects |
| Allow | AD DS Connector Account | Read all properties | Descendant Contact objects |
| Allow | AD DS Connector Account | Репликация изменений каталога | Только этот объект (корневой домен) |
Configure MS-DS-Consistency-Guid Permissions
Чтобы установить разрешения для учетной записи соединителя AD DS при использовании атрибута ms-Ds-Consistency-Guid в качестве привязки к источнику (параметр "Позволить Azure управлять привязкой к источнику от моего имени"), запустите:
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Or;
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Applies To |
|---|---|---|---|
| Allow | AD DS Connector Account | Read/Write property | Descendant User objects |
Разрешения для синхронизации хэшей пароля
Чтобы задать разрешения для учетной записи соединителя AD DS при использовании синхронизации хэша паролей, запустите:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
Or;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Applies To |
|---|---|---|---|
| Allow | AD DS Connector Account | Репликация изменений каталога | Только этот объект (корневой домен) |
| Allow | AD DS Connector Account | Replicating Directory Changes All | Только этот объект (корневой домен) |
Разрешения для обратной записи паролей
Чтобы задать разрешения для учетной записи соединителя AD DS при использовании функции обратной записи паролей, запустите:
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Or;
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Applies To |
|---|---|---|---|
| Allow | AD DS Connector Account | Сброс пароля | Descendant User objects |
| Allow | AD DS Connector Account | Write property lockoutTime | Descendant User objects |
| Allow | AD DS Connector Account | Записать свойство pwdLastSet | Descendant User objects |
Permissions for Group Writeback
To set permissions for the AD DS Connector account when using Group Writeback, run:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Or;
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Applies To |
|---|---|---|---|
| Allow | AD DS Connector Account | Generic Read/Write | Все атрибуты группы типов объектов и дочерних объектов |
| Allow | AD DS Connector Account | Создать/удалить дочерний объект | Все атрибуты группы типов объектов и дочерних объектов |
| Allow | AD DS Connector Account | Удалить/Удалить объекты дерева | Все атрибуты группы типов объектов и дочерних объектов |
Разрешения для гибридного развертывания Exchange
Чтобы задать разрешения для учетной записи соединителя AD DS при использовании гибридного развертывания Exchange, запустите:
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Or;
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Applies To |
|---|---|---|---|
| Allow | AD DS Connector Account | Чтение/запись всех свойств | Descendant User objects |
| Allow | AD DS Connector Account | Чтение/запись всех свойств | Descendant InetOrgPerson objects |
| Allow | AD DS Connector Account | Чтение/запись всех свойств | Descendant Group objects |
| Allow | AD DS Connector Account | Чтение/запись всех свойств | Descendant Contact objects |
Разрешения для общедоступных папок почты Exchange
Чтобы задать разрешения для учетной записи соединителя AD DS при использовании общедоступных папок почты Exchange, запустите:
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Or;
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Applies To |
|---|---|---|---|
| Allow | AD DS Connector Account | Read all properties | Дочерние объекты PublicFolder |
Ограничение разрешений учетной записи соединителя AD DS
Этот скрипт PowerShell ужесточает разрешения для учетной записи соединителя AD, предоставленной в качестве параметра. Сужение разрешения включает следующие шаги:
Отключение наследования для указанного объекта.
Удалите все элементы управления доступом (ACEs) на конкретном объекте, кроме тех, которые специфичны для SELF, так как мы хотим сохранить разрешения по умолчанию, касающиеся SELF, без изменений.
Параметр
-ADConnectorAccountDN— это учетная запись AD, разрешения которой необходимо ужесточить. Обычно это учетная запись домена MSOL_nnnnnnnnnnnn, настроенная в соединителе AD DS (см. Как определить учетную запись соединителя AD DS). Параметр-Credentialнеобходим, чтобы указать учетную запись администратора с необходимыми привилегиями для ограничения разрешений Active Directory для целевого объекта AD (эта учетная запись должна отличаться от учетной записи ADConnectorAccountDN). Обычно это администратор предприятия или домена.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Пример:
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
Этот командлет задает следующие разрешения:
| Тип | Имя. | Доступ | Applies To |
|---|---|---|---|
| Allow | СИСТЕМА | Полный доступ | This object |
| Allow | Администраторы предприятия | Полный доступ | This object |
| Allow | Администраторы домена | Полный доступ | This object |
| Allow | Администраторы | Полный доступ | This object |
| Allow | Контроллеры домена предприятия | Список содержимого | This object |
| Allow | Контроллеры домена предприятия | Read All Properties | This object |
| Allow | Контроллеры домена предприятия | Разрешения на чтение | This object |
| Allow | Пользователи, прошедшие проверку подлинности | Список содержимого | This object |
| Allow | Пользователи, прошедшие проверку подлинности | Read All Properties | This object |
| Allow | Пользователи, прошедшие проверку подлинности | Разрешения на чтение | This object |