Microsoft Entra Připojení: Konfigurace oprávnění účtu služby AD DS Připojení or

Modul PowerShellu s názvem ADSyncConfig.psm1 byl představen s buildem 1.1.880.0 (vydaným v srpnu 2018), který obsahuje kolekci rutin, které vám pomůžou nakonfigurovat správná oprávnění služby Active Directory pro vaše nasazení Microsoft Entra Připojení.

Přehled

Následující rutiny PowerShellu se dají použít k nastavení oprávnění služby Active Directory účtu Připojení or služby AD DS pro každou funkci, kterou vyberete pro povolení v microsoft Entra Připojení. Pokud chcete zabránit jakýmkoli problémům, měli byste předem připravit oprávnění služby Active Directory, kdykoli chcete nainstalovat Microsoft Entra Připojení pomocí vlastního účtu domény pro připojení k doménové struktuře. Tento modul ADSyncConfig lze také použít ke konfiguraci oprávnění po nasazení Připojení Microsoft Entra.

overview of ad ds account

Pro instalaci Microsoft Entra Připojení Express se ve službě Active Directory vytvoří automaticky vygenerovaný účet (MSOL_nnnnnnnnnn) se všemi potřebnými oprávněními, takže tento modul ADSyncConfig není potřeba používat, pokud jste nezablokovali dědičnost oprávnění u organizačních jednotek nebo konkrétních objektů služby Active Directory, které chcete synchronizovat s ID Microsoft Entra.

Souhrn oprávnění

Následující tabulka obsahuje souhrn oprávnění požadovaných pro objekty AD:

Funkce Oprávnění
Funkce ms-DS-ConsistencyGuid Oprávnění ke čtení a zápisu atributu ms-DS-ConsistencyGuid zdokumentovaného v konceptech návrhu – Použití ms-DS-ConsistencyGuid jako sourceAnchor
Synchronizace hodnot hash hesel
  • Replikace změn adresáře – vyžadováno pouze pro základní čtení
  • Replikace změn adresáře – Vše
  • Hybridní nasazení Exchange Oprávnění ke čtení a zápisu atributů zdokumentovaných v hybridním zpětném zápisu Exchange pro uživatele, skupiny a kontakty
    Veřejná složka e-mailu Exchange Informace o oprávněních ke čtení atributů pro veřejné složky najdete v části Veřejná složka e-mailu Exchange.
    Zpětný zápis hesla Oprávnění ke čtení a zápisu k atributům zdokumentovaným v části Začínáme se správou hesel pro uživatele
    Zpětný zápis zařízení Oprávnění ke čtení a zápisu k objektům a kontejnerům zařízení zdokumentovaným v zpětném zápisu zařízení
    Zpětný zápis skupin Čtení, vytváření, aktualizace a odstraňování objektů skupiny pro synchronizované skupiny Office 365

    Použití modulu PowerShellu ADSyncConfig

    Modul ADSyncConfig vyžaduje pro službu AD DS vzdáleného serveru Správa istrace nástrojů (RSAT), protože závisí na modulu a nástrojích PowerShellu služby AD DS. Pokud chcete nainstalovat vzdálenou správu serveru pro SLUŽBU AD DS, otevřete okno Windows PowerShellu s příkazem Spustit jako Správa istrator a spusťte:

    Install-WindowsFeature RSAT-AD-Tools 
    

    Configure

    Poznámka:

    Soubor C:\Program Files\Microsoft Entra Připojení\AdSyncConfig\ADSyncConfig.psm1 můžete také zkopírovat do řadiče domény, který už má nainstalovaný nástroj RSAT pro SLUŽBU AD DS, a použít odtud tento modul PowerShellu. Mějte na paměti, že některé rutiny je možné spustit pouze na počítači, který hostuje Microsoft Entra Připojení.

    Pokud chcete začít používat ADSyncConfig, musíte modul načíst v okně Windows PowerShellu:

    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
    

    Pokud chcete zkontrolovat všechny rutiny zahrnuté v tomto modulu, můžete zadat:

    Get-Command -Module AdSyncConfig  
    

    Check

    Každá rutina má stejné parametry pro zadání účtu Připojení or služby AD DS a přepínače Správa SDHolder. Pokud chcete zadat účet Připojení or služby AD DS, můžete zadat název účtu a doménu nebo jenom rozlišující název účtu (DN).

    Např.:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
    

    nebo

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
    

    Nezapomeňte nahradit <ADAccountName><ADDomainName> a <ADAccountDN> za správné hodnoty pro vaše prostředí.

    V případě, že chcete změnit oprávnění v kontejneru Správa SDHolder, použijte přepínač -IncludeAdminSdHolders. Upozorňujeme, že to nedoporučujeme.

    Ve výchozím nastavení se všechny rutiny pro nastavení oprávnění pokusí nastavit oprávnění služby AD DS v kořenovém adresáři každé domény v doménové struktuře, což znamená, že uživatel, který spouští relaci PowerShellu, vyžaduje oprávnění domain Správa istrator pro každou doménu v doménové struktuře. Z tohoto požadavku se doporučuje použít podnikový Správa istrator z kořenové struktury. Pokud má vaše nasazení Microsoft Entra Připojení více Připojení orů služby AD DS, bude nutné spustit stejnou rutinu pro každou doménovou strukturu, která má Připojení or služby AD DS.

    Oprávnění pro konkrétní organizační jednotky nebo objekt AD DS můžete také nastavit pomocí parametru -ADobjectDN následovaného DN cílového objektu, kde chcete nastavit oprávnění. Při použití cílového objektu ADobjectDN nastaví rutina oprávnění pouze pro tento objekt, nikoli v kořenovém adresáři domény nebo v kontejneru Správa SDHolder. Tento parametr může být užitečný, pokud máte určité organizační jednotky nebo objekty AD DS, které mají zakázáno dědičnost oprávnění (viz Vyhledání objektů AD DS se zakázaným dědičností oprávnění).

    Výjimky z těchto běžných parametrů jsou Set-ADSyncRestrictedPermissions rutina, která slouží k nastavení oprávnění pro samotný účet služby AD DS Připojení or a rutinaSet-ADSyncPasswordHashSyncPermissions, protože oprávnění požadovaná pro synchronizaci hodnot hash hesel jsou nastavená pouze v kořenovém adresáři domény, proto tato rutina nezahrnuje -ObjectDN ani -IncludeAdminSdHolders parametry.

    Určení účtu Připojení or služby AD DS

    Pokud je microsoft Entra Připojení již nainstalovaný a chcete zkontrolovat, co je účet služby AD DS Připojení or, který aktuálně používá Microsoft Entra Připojení, můžete spustit tuto rutinu:

    Get-ADSyncADConnectorAccount 
    

    Vyhledání objektů SLUŽBY AD DS se zakázaným dědičností oprávnění

    V případě, že chcete zkontrolovat, jestli existuje nějaký objekt AD DS se zakázaným dědičností oprávnění, můžete spustit:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' 
    

    Ve výchozím nastavení bude tato rutina hledat pouze organizační jednotky s zakázanou dědičností, ale v parametru můžete zadat další třídy -ObjectClass objektů SLUŽBY AD DS nebo použít *pro všechny třídy objektů následujícím způsobem:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass * 
    

    Zobrazení oprávnění služby AD DS objektu

    Pomocí následující rutiny můžete zobrazit seznam oprávnění aktuálně nastavených u objektu služby Active Directory zadáním jeho rozlišujícího názvu:

    Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>' 
    

    Konfigurace oprávnění účtu konektoru služby AD DS

    Konfigurace základních oprávnění jen pro čtení

    Pokud chcete nastavit základní oprávnění jen pro čtení pro účet Připojení or služby AD DS, pokud nepoužíváte žádnou funkci Microsoft Entra Připojení, spusťte:

    Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    Nebo;

    Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Tato rutina nastaví následující oprávnění:

    Typ Název Přístup Platí pro
    Povolit Účet Připojení oru služby AD DS Čtení všech vlastností Objekty zařízení potomků
    Povolit Účet Připojení oru služby AD DS Čtení všech vlastností Descendant InetOrgPerson – objekty
    Povolit Účet Připojení oru služby AD DS Čtení všech vlastností Objekty počítače potomků
    Povolit Účet Připojení oru služby AD DS Čtení všech vlastností Descendant foreignSecurityPrincipal objekty
    Povolit Účet Připojení oru služby AD DS Čtení všech vlastností Objekty descendant Group
    Povolit Účet Připojení oru služby AD DS Čtení všech vlastností Objekty potomků uživatele
    Povolit Účet Připojení oru služby AD DS Čtení všech vlastností Objekty potomku kontaktu
    Povolit Účet Připojení oru služby AD DS Replikace změn adresáře Pouze tento objekt (kořen domény)

    Konfigurace oprávnění MS-DS-Consistency-Guid

    Pokud chcete nastavit oprávnění pro účet služby AD DS Připojení or při použití atributu ms-Ds-Consistency-Guid jako zdrojové ukotvení (označuje se také jako možnost Umožnit Azure spravovat zdrojové ukotvení pro mě), spusťte:

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    Nebo;

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Tato rutina nastaví následující oprávnění:

    Typ Název Přístup Platí pro
    Povolit Účet Připojení oru služby AD DS Read/Write – vlastnost Objekty potomků uživatele

    Oprávnění pro synchronizaci hodnot hash hesel

    Pokud chcete nastavit oprávnění pro účet služby AD DS Připojení or při použití synchronizace hodnot hash hesel, spusťte:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>] 
    

    Nebo;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>] 
    

    Tato rutina nastaví následující oprávnění:

    Typ Název Přístup Platí pro
    Povolit Účet Připojení oru služby AD DS Replikace změn adresáře Pouze tento objekt (kořen domény)
    Povolit Účet Připojení oru služby AD DS Replikace změn adresáře – vše Pouze tento objekt (kořen domény)

    Oprávnění pro zpětný zápis hesla

    Pokud chcete nastavit oprávnění pro účet služby AD DS Připojení or při použití zpětného zápisu hesla, spusťte:

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    Nebo;

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Tato rutina nastaví následující oprávnění:

    Typ Název Přístup Platí pro
    Povolit Účet Připojení oru služby AD DS Vytvořit nové heslo Objekty potomků uživatele
    Povolit Účet Připojení oru služby AD DS Write property lockoutTime Objekty potomků uživatele
    Povolit Účet Připojení oru služby AD DS Write property pwdLastSet Objekty potomků uživatele

    Oprávnění pro zpětný zápis skupiny

    Pokud chcete nastavit oprávnění pro účet Připojení or služby AD DS při použití zpětného zápisu skupiny, spusťte:

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    Nebo;

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
    

    Tato rutina nastaví následující oprávnění:

    Typ Název Přístup Platí pro
    Povolit Účet Připojení oru služby AD DS Obecné čtení a zápis Všechny atributy skupiny typů objektů a podobjektů
    Povolit Účet Připojení oru služby AD DS Vytvoření nebo odstranění podřízeného objektu Všechny atributy skupiny typů objektů a podobjektů
    Povolit Účet Připojení oru služby AD DS Odstranění nebo odstranění objektů stromu Všechny atributy skupiny typů objektů a podobjektů

    Oprávnění pro hybridní nasazení Exchange

    Pokud chcete nastavit oprávnění pro účet Připojení or služby AD DS při použití hybridního nasazení Exchange, spusťte:

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    Nebo;

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Tato rutina nastaví následující oprávnění:

    Typ Název Přístup Platí pro
    Povolit Účet Připojení oru služby AD DS Čtení/zápis všech vlastností Objekty potomků uživatele
    Povolit Účet Připojení oru služby AD DS Čtení/zápis všech vlastností Descendant InetOrgPerson – objekty
    Povolit Účet Připojení oru služby AD DS Čtení/zápis všech vlastností Objekty descendant Group
    Povolit Účet Připojení oru služby AD DS Čtení/zápis všech vlastností Objekty potomku kontaktu

    Oprávnění pro veřejné složky pošty Exchange

    Pokud chcete nastavit oprávnění pro účet služby AD DS Připojení or při použití funkce Veřejné složky pošty Exchange, spusťte:

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>] 
    

    Nebo;

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Tato rutina nastaví následující oprávnění:

    Typ Název Přístup Platí pro
    Povolit Účet Připojení oru služby AD DS Čtení všech vlastností Objekty Descendant PublicFolder

    Omezení oprávnění pro účet Připojení or služby AD DS

    Tento skript PowerShellu zpřísní oprávnění pro účet ad Připojení oru zadaný jako parametr. Zpřísnění oprávnění zahrnuje následující kroky:

    • Zakázání dědičnosti u zadaného objektu

    • Odeberte všechny ACL na konkrétním objektu, s výjimkou ACL specifických pro SELF, protože chceme zachovat výchozí oprávnění beze změny, pokud jde o SELF.

      Parametr -AD Připojení orAccountDN je účet AD, jehož oprávnění je potřeba utáhnout. Obvykle se jedná o účet domény MSOL_nnnnnnnnnnnn, který je nakonfigurovaný v Připojení oru služby AD DS (viz Určení účtu Připojení or služby AD DS). Parametr -Credential je nezbytný k určení účtu Správa istratoru, který má potřebná oprávnění k omezení oprávnění služby Active Directory pro cílový objekt AD (tento účet se musí lišit od účtu AD Připojení orAccountDN). Obvykle se jedná o Správa istrator organizace nebo domény.

    Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>] 
    

    Příklad:

    $credential = Get-Credential 
    Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential  
    

    Tato rutina nastaví následující oprávnění:

    Typ Název Přístup Platí pro
    Povolit SYSTÉM Úplné řízení Tento objekt
    Povolit Enterprise Admins Úplné řízení Tento objekt
    Povolit Domain Admins Úplné řízení Tento objekt
    Povolit Správci Úplné řízení Tento objekt
    Povolit Podnikové řadiče domény Obsah seznamu Tento objekt
    Povolit Podnikové řadiče domény Číst všechny vlastnosti Tento objekt
    Povolit Podnikové řadiče domény Oprávnění ke čtení Tento objekt
    Povolit Ověření uživatelé Obsah seznamu Tento objekt
    Povolit Ověření uživatelé Číst všechny vlastnosti Tento objekt
    Povolit Ověření uživatelé Oprávnění ke čtení Tento objekt

    Další kroky