Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Цель данного документа — описать командлеты PowerShell для агента облачного предоставления gMSA Microsoft Entra Connect. Эти командлеты позволяют более детально управлять разрешениями, применяемыми к учетной записи службы (gMSA). По умолчанию Microsoft Entra Cloud Sync применяет все разрешения, аналогичные Microsoft Entra Connect, на стандартную gMSA или пользовательскую gMSA, во время установки агента облачной подготовки.
В этом документе рассматриваются следующие командлеты:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
Как пользоваться командлетами:
Для использования этих командлетов необходимо выполнить следующие предварительные требования.
Установите агент конфигурирования.
Импортируйте модуль PowerShell агента развертывания в сеанс PowerShell.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Для этих командлетов требуется параметр с именем
Credential, который может быть передан или будет запрошен у пользователя, если не указан в командной строке. В зависимости от используемого синтаксиса командлета эти учетные данные должны представлять учетную запись администратора предприятия или, как минимум, администратора домена целевого домена, для которого вы устанавливаете разрешения.Чтобы создать переменную для учетных данных, используйте следующее:
$credential = Get-CredentialЧтобы установить разрешения Active Directory для агента облачного развертывания, вы можете использовать следующий командлет. Это предоставляет разрешения в корне домена, позволяя учетной записи службы управлять локальными объектами Active Directory. Смотрите примеры задания прав доступа в разделе Использование Set-AADCloudSyncPermissions ниже.
Set-AADCloudSyncPermissions -EACredential $credentialЧтобы ограничить разрешения Active Directory, установленные по умолчанию для учетной записи агента за облачное развертывание, вы можете использовать следующий командлет. Это повышает безопасность учетной записи службы, отключив наследование разрешений и удалив все существующие разрешения, кроме SELF и Full Control для администраторов. О том, как ограничивать разрешения, см. примеры в разделе Использование Set-AADCloudSyncRestrictedPermission ниже.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Использование Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions поддерживает следующие типы прав доступа, которые идентичны правам доступа в классической синхронизации Azure AD Connect (ADSync). Поддерживаются следующие типы разрешений:
| Тип разрешения | Описание |
|---|---|
| БэйсикРид | Просмотрите разрешения BasicRead для Microsoft Entra Connect |
| СинхронизацияХэшаПароля | См. разрешения PasswordHashSync для Microsoft Entra Connect |
| Обратная запись паролей | См. разрешения PasswordWriteBack для Microsoft Entra Connect |
| Разрешения для гибридного обмена | См. разрешения HybridExchangePermissions для Microsoft Entra Connect |
| Права доступа к общедоступным папкам ExchangeMail | Сведения о разрешениях ExchangeMailPublicFolderPermissions для Microsoft Entra Connect |
| СозданиеИУдалениеГруппПользователей | Разрешения для предоставления группы Microsoft Entra Cloud Sync в Active Directory. Применяет "Создание и удаление объектов пользователей" для объекта "Этот объект и все потомки" и применяет "Создание и удаление объектов группы" для объекта "Этот объект и все объекты-потомки". |
| Все | Применяет все выше перечисленные разрешения |
Средство AADCloudSyncPermissions можно использовать одним из двух способов:
- Предоставление разрешений для всех настроенных доменов
- Предоставление разрешений для определенного домена
Предоставление разрешений для всех настроенных доменов
Для предоставления определенных разрешений всем настроенным доменам требуется использование учетной записи администратора предприятия.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Предоставление разрешений для определенного домена
Для предоставления определенных разрешений конкретному домену требуется использование учетных данных целевого домена (TargetDomainCredential), которые должны принадлежать корпоративному администратору или администратору домена целевого домена. Целевой домен необходимо заранее настроить через мастер настройки.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Использование Set-AADCloudSyncRestrictedPermissions
Для повышения безопасности Set-AADCloudSyncRestrictedPermissions уточняет разрешения, заданные в самой учетной записи агента подготовки облака. Ограничение разрешений для учетной записи агента облачной подготовки включает следующие изменения:
Отключить наследование
Удалите все разрешения по умолчанию, кроме ACE, относящихся к SELF.
Установите разрешения на полный доступ для SYSTEM, администраторов, администраторов домена и администраторов предприятия.
Установка разрешений на чтение для пользователей, прошедших проверку подлинности, и контроллеров домена предприятия.
Параметр -Credential требуется для указания учетной записи администратора, которая имеет необходимые привилегии для ограничения разрешений Active Directory для учетной записи агента облачной подготовки. Обычно это администратор домена или предприятия.
Пример:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential