Azure AD Connect: Konfigurieren der Azure AD-Connector-KontoberechtigungenAzure AD Connect: Configure AD DS Connector Account Permissions

Mit Build 1.1.880.0 (veröffentlicht im August 2018) wurde das PowerShell-Modul namens ADSyncConfig.psm1 eingeführt, das eine Sammlung von Cmdlets enthält, die Sie beim Konfigurieren der richtigen Active Directory-Berechtigungen für Ihre Azure AD Connect-Bereitstellung unterstützen.The PowerShell Module named ADSyncConfig.psm1 was introduced with build 1.1.880.0 (released in August 2018) that includes a collection of cmdlets to help you configure the correct Active Directory permissions for your Azure AD Connect deployment.

ÜbersichtOverview

Die folgenden PowerShell-Cmdlets können verwendet werden, um Active Directory-Berechtigungen des AD DS-Connector-Kontos für jede Funktion einzurichten, die Sie in Azure AD Connect zum Aktivieren auswählen.The following PowerShell cmdlets can be used to setup Active Directory permissions of the AD DS Connector account, for each feature that you select to enable in Azure AD Connect. Um Probleme zu vermeiden, sollten Sie immer dann Active Directory-Berechtigungen im Voraus vorbereiten, wenn Sie Azure AD Connect so installieren möchten, dass es mithilfe eines benutzerdefinierten Domänenkontos eine Verbindung mit Ihrer Gesamtstruktur herstellt.To prevent any issues, you should prepare Active Directory permissions in advance whenever you want to install Azure AD Connect using a custom domain account to connect to your forest. Dieses ADSyncConfig-Modul kann auch verwendet werden, um Berechtigungen zu konfigurieren, nachdem Azure AD Connect bereitgestellt wurde.This ADSyncConfig module can also be used to configure permissions after Azure AD Connect is deployed.

Übersicht über AD DS-Konten

Für eine Azure AD Connect-Expressinstallation wird ein automatisch generiertes Konto (MSOL_nnnnnnnnnn) in Active Directory mit allen notwendigen Berechtigungen erstellt, weshalb Sie dieses ADSyncConfig-Modul nur verwenden müssen, wenn Sie die Vererbung von Berechtigungen für Organisationseinheiten oder für bestimmte Active Directory-Objekte gesperrt haben, die Sie mit Azure AD synchronisieren möchten.For Azure AD Connect Express installation, an automatically generated account (MSOL_nnnnnnnnnn) is created in Active Directory with all the necessary permissions, so there’s no need to use this ADSyncConfig module unless you have blocked permissions inheritance on organizational units or on specific Active Directory objects that you want to synchronize to Azure AD.

Zusammenfassung der BerechtigungenPermissions summary

Die folgende Tabelle bietet eine Zusammenfassung der für AD-Objekte erforderlichen Berechtigungen:The following table provides a summary of the permissions required on AD objects:

FunktionFeature BerechtigungenPermissions
ms-DS-ConsistencyGuidms-DS-ConsistencyGuid feature Lese- und Schreibberechtigungen für das Attribut „ms-DS-ConsistencyGuid“, das unter Entwurfskonzepte – Verwendung von „ms-DS-ConsistencyGuid“ als „sourceAnchor“ dokumentiert ist.Read and Write permissions to the ms-DS-ConsistencyGuid attribute documented in Design Concepts - Using ms-DS-ConsistencyGuid as sourceAnchor.
KennworthashsynchronisierungPassword hash sync
  • Verzeichnisänderungen replizierenReplicate Directory Changes
  • Verzeichnisänderungen replizieren: AlleReplicate Directory Changes All
  • Exchange-HybridbereitstellungExchange hybrid deployment Lese- und Schreibberechtigungen für die Attribute, die in Exchange-Hybridrückschreiben für Benutzer, Gruppen und Kontakte dokumentiert sind.Read and Write permissions to the attributes documented in Exchange hybrid writeback for users, groups, and contacts.
    Öffentlicher Exchange-E-Mail-OrdnerExchange Mail Public Folder Leseberechtigungen für die Attribute, die im öffentlichen Exchange-E-Mail-Ordner für öffentliche Ordner dokumentiert sind.Read permissions to the attributes documented in Exchange Mail Public Folder for public folders.
    KennwortrückschreibenPassword writeback Lese- und Schreibberechtigungen für die Attribute, die in Erste Schritte mit der Kennwortverwaltung für Benutzer dokumentiert sind.Read and Write permissions to the attributes documented in Getting started with password management for users.
    GeräterückschreibenDevice writeback Lese- und Schreibberechtigungen für Geräteobjekte und Container, die in Geräterückschreiben dokumentiert sind.Read and Write permissions to device objects and containers documented in device writeback.
    GruppenrückschreibenGroup writeback Lesen, Erstellen, Aktualisieren und Löschen von Gruppenobjekten für synchronisierte Office 365-Gruppen.Read, Create, Update, and Delete group objects for synchronized Office 365 groups.

    Verwenden des ADSyncConfig PowerShell-ModulsUsing the ADSyncConfig PowerShell Module

    Das ADSyncConfig-Modul erfordert die Remoteserver-Verwaltungstools (RSAT) für AD DS, weil es vom AD DS PowerShell-Modul und den Tools abhängig ist.The ADSyncConfig module requires the Remote Server Administration Tools (RSAT) for AD DS since it depends on the AD DS PowerShell module and tools. Um RSAT für AD DS zu installieren, öffnen Sie ein Windows PowerShell-Fenster mit „Als Administrator ausführen“, und führen Sie Folgendes aus:To install RSAT for AD DS, open a Windows PowerShell window with ‘Run As Administrator’ and execute:

    Install-WindowsFeature RSAT-AD-Tools 
    

    Konfigurieren

    Hinweis

    Sie können auch die Datei C:\Programme\Microsoft Azure Active Directory Connect\AdSyncConfig\ADSyncConfig.psm1 in einen Domänencontroller kopieren, auf dem bereits RSAT für AD DS installiert ist, und dieses PowerShell-Modul von dort aus verwenden.You can also copy the file C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\ADSyncConfig.psm1 to a Domain Controller which already has RSAT for AD DS installed and use this PowerShell module from there.

    Um mit der Verwendung von ADSyncConfig zu beginnen, müssen Sie das Modul in ein Windows PowerShell-Fenster laden:To start using the ADSyncConfig you need to load the module in a Windows PowerShell window:

    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
    

    Um alle in diesem Modul enthaltenen Cmdlets zu überprüfen, können Sie Folgendes eingeben:To check all the cmdlets included in this module you can type:

    Get-Command -Module AdSyncConfig  
    

    Prüfen

    Jedes Cmdlet hat dieselben Eingabeparameter, das AD DS-Connector-Konto und einen AdminSDHolder-Parameter.Each cmdlet has the same parameters to input the AD DS Connector Account and an AdminSDHolder switch. Um Ihre AD DS-Connector-Konto anzugeben, können Sie den Kontonamen und die Domäne angeben oder nur den DN des Kontos (Distinguished Name),To specify your AD DS Connector Account, you can provide the account name and domain, or just the account Distinguished Name (DN),

    z. B.:e.g.:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
    

    OderOr;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
    

    Stellen Sie sicher, dass Sie <ADAccountName>, <ADDomainName> und <ADAccountDN> durch die entsprechenden Werte für Ihre Umgebung ersetzen.Make sure to replace <ADAccountName>, <ADDomainName> and <ADAccountDN> with the proper values for your environment.

    Für den Fall, dass Sie keine Berechtigungen des AdminSDHolder-Containers ändern möchten, verwenden Sie den Parameter -SkipAdminSdHolders.In case you don’t want to modify permissions on the AdminSDHolder container, use the switch -SkipAdminSdHolders.

    Standardmäßig versuchen alle Cmdlets zum Festlegen von Berechtigungen AD DS-Berechtigungen im Stamm jeder Domäne in der Gesamtstruktur festzulegen, was bedeutet, dass der Benutzer, der die PowerShell-Sitzung ausführt, Domänenadministratorberechtigungen für jede Domäne in der Gesamtstruktur benötigt.By default, all the set permissions cmdlets will try to set AD DS permissions on the root of each Domain in the Forest, meaning that the user running the PowerShell session requires Domain Administrator rights on each domain in the Forest. Aufgrund dieser Anforderung wird empfohlen, einen Unternehmensadministrator aus dem Gesamtstrukturstamm zu verwenden.Because of this requirement, it is recommended to use an Enterprise Administrator from the Forest root. Wenn Ihre Azure AD Connect-Bereitstellung mehrere AD DS-Connectors besitzt, ist es erforderlich, dasselbe Cmdlet in jeder Gesamtstruktur auszuführen, die über einen AD DS-Connector verfügt.If your Azure AD Connect deployment has multiple AD DS Connectors, it will be required to run the same cmdlet on each forest that has an AD DS Connector.

    Sie können auch Berechtigungen für eine bestimmte Organisationseinheit oder ein bestimmtes AD DS-Objekt festlegen, indem Sie den Parameter -ADobjectDN verwenden, gefolgt vom DN des Zielobjekts, für das Sie die Berechtigungen festlegen möchten.You can also set permissions on a specific OU or AD DS object by using the parameter -ADobjectDN followed by the DN of the target object where you want to set permissions. Wenn Sie einen Ziel-ADobjectDN verwenden, legt das Cmdlet Berechtigungen nur für dieses Objekt und nicht für den Domänenstamm- oder AdminSDHolder-Container fest.When using a target ADobjectDN, the cmdlet will set permissions on this object only and not on the domain root or AdminSDHolder container. Dieser Parameter kann nützlich sein, wenn Sie bestimmte Organisationseinheiten oder AD DS-Objekte haben, für die die Berechtigungsvererbung deaktiviert ist (siehe „Auffinden von AD DS-Objekten mit deaktivierter Berechtigungsvererbung“).This parameter can be useful when you have certain OUs or AD DS objects that have permission inheritance disabled (see Locate AD DS objects with permission inheritance disabled)

    Ausnahmen von diesen allgemeinen Parametern sind das Cmdlet Set-ADSyncRestrictedPermissions, das verwendet wird, um die Berechtigungen für das AD DS-Connector-Konto selbst festzulegen, und das Cmldet Set-ADSyncPasswordHashSyncPermissions Cmdlet, da die für die Kennworthashsynchronisierung erforderlichen Berechtigungen nur auf Ebene des Domänenstamms festgelegt werden, weshalb dieses Cmdlet die Parameter -ObjectDN oder -SkipAdminSdHolders nicht einschließt.Exceptions to these common parameters are the Set-ADSyncRestrictedPermissions cmdlet which is used to set the permissions on the AD DS Connector Account itself, and the Set-ADSyncPasswordHashSyncPermissions cmdlet since the permissions required for Password Hash Sync are only set at the domain root, hence this cmdlet does not include the -ObjectDN or -SkipAdminSdHolders parameters.

    Bestimmen Ihres AD DS-Connector-KontosDetermine your AD DS Connector Account

    Falls Azure AD Connect bereits installiert ist, und Sie überprüfen möchten, welches das aktuell von Azure AD Connect verwendete AD DS-Connector-Konto ist, können Sie das Cmdlet ausführen:In case Azure AD Connect is already installed and you want to check what is the AD DS Connector Account currently in use by Azure AD Connect, you can execute the cmdlet:

    Get-ADSyncADConnectorAccount 
    

    Auffinden von AD DS-Objekten mit deaktivierter BerechtigungsvererbungLocate AD DS objects with permission inheritance disabled

    Falls Sie überprüfen möchten, ob AD DS-Objekte vorhanden sind, für die die Vererbung von Berechtigungen deaktiviert ist, können Sie Folgendes ausführen:In case you want to check if there is any AD DS object with permission inheritance disabled, you can run:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' 
    

    Standardmäßig sucht dieses Cmdlet nur nach Organisationseinheiten mit deaktivierter Vererbung, aber Sie können weitere AD DS-Objektklassen über den Parameter -ObjectClass angeben, oder Sie verwenden „*“ für alle Objektklassen wie folgt:By default, this cmdlet will only look for OUs with disabled inheritance, but you can specify other AD DS object classes in -ObjectClass parameter or use ‘*’ for all object classes, as follows:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass * 
    

    Anzeigen der AD DS-Berechtigungen eines ObjektsView AD DS permissions of an object

    Sie können das unten angegebene Cmdlet verwenden, um die Liste der aktuell für ein Active Directory-Objekt festgelegten Berechtigungen anzuzeigen, indem Sie seinen DN (DistinguishedName) angeben:You can use the cmdlet below to view the list of permissions currently set on an Active Directory object by providing its DistinguishedName:

    Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>' 
    

    Konfigurieren der Azure AD-Connector-KontoberechtigungenConfigure AD DS Connector Account Permissions

    Konfigurieren grundlegender Nur-Lesen-BerechtigungenConfigure Basic Read-Only Permissions

    Um grundlegende Nur-Lesen-Berechtigungen für das AD DS-Connector-Konto festzulegen, wenn keine Azure AD Connect-Funktionen verwendet werden, führen Sie Folgendes aus:To set basic read-only permissions for the AD DS Connector account when not using any Azure AD Connect feature, run:

    Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    oderor;

    Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Dieses Cmdlet legt die folgenden Berechtigungen fest:This cmdlet will set the following permissions:

    typeType NameName ZugriffAccess Gilt fürApplies To
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Alle Eigenschaften lesenRead all properties Nachfolger-GeräteobjekteDescendant device objects
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Alle Eigenschaften lesenRead all properties Nachfolger-InetOrgPerson-ObjekteDescendant InetOrgPerson objects
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Alle Eigenschaften lesenRead all properties Nachfolger-ComputerobjekteDescendant Computer objects
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Alle Eigenschaften lesenRead all properties Nachfolger-foreignSecurityPrincipal-ObjekteDescendant foreignSecurityPrincipal objects
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Alle Eigenschaften lesenRead all properties Nachfolger-GruppenobjekteDescendant Group objects
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Alle Eigenschaften lesenRead all properties Nachfolger-BenutzerobjekteDescendant User objects
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Alle Eigenschaften lesenRead all properties Nachfolger-KontaktobjekteDescendant Contact objects

    Konfigurieren von MS-DS-Consistency-Guid-BerechtigungenConfigure MS-DS-Consistency-Guid Permissions

    Um Berechtigungen für das AD DS-Connector-Konto festzulegen, wenn Sie das Attribut „ms-Ds-Consistency-Guid“ als Quellanker verwenden (auch bekannt als Option „Ich möchte den Quellanker durch Azure verwalten lassen“), führen Sie Folgendes aus:To set permissions for the AD DS Connector account when using the ms-Ds-Consistency-Guid attribute as the source anchor (also known as “Let Azure manage the source anchor for me” option), run:

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    oderor;

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Dieses Cmdlet legt die folgenden Berechtigungen fest:This cmdlet will set the following permissions:

    typeType NameName ZugriffAccess Gilt fürApplies To
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Lese-/SchreibeigenschaftRead/Write property Nachfolger-BenutzerobjekteDescendant User objects

    Berechtigungen für die KennworthashsynchronisierungPermissions for Password Hash Synchronization

    Um Berechtigungen für das AD DS-Connector-Konto festzulegen, wenn Kennworthashsynchronisierung verwendet wird, führen Sie Folgendes aus:To set permissions for the AD DS Connector account when using Password Hash Synchronization, run:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>] 
    

    oderor;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>] 
    

    Dieses Cmdlet legt die folgenden Berechtigungen fest:This cmdlet will set the following permissions:

    typeType NameName ZugriffAccess Gilt fürApplies To
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Replizieren von VerzeichnisänderungenReplicating Directory Changes Nur dieses Objekt (Domänenstamm)This object only (Domain root)
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Replizieren von Verzeichnisänderungen: AlleReplicating Directory Changes All Nur dieses Objekt (Domänenstamm)This object only (Domain root)

    Berechtigungen für das KennwortrückschreibenPermissions for Password Writeback

    Um Berechtigungen für das AD DS-Connector-Konto festzulegen, wenn Kennwortrückschreiben verwendet wird, führen Sie Folgendes aus:To set permissions for the AD DS Connector account when using Password Writeback, run:

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    oderor;

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Dieses Cmdlet legt die folgenden Berechtigungen fest:This cmdlet will set the following permissions:

    typeType NameName ZugriffAccess Gilt fürApplies To
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Kennwort zurücksetzenReset Password Nachfolger-BenutzerobjekteDescendant User objects
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Schreiben für Eigenschaft „LockoutTime“Write property lockoutTime Nachfolger-BenutzerobjekteDescendant User objects
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Schreiben für Eigenschaft „pwdLastSet“Write property pwdLastSet Nachfolger-BenutzerobjekteDescendant User objects

    Berechtigungen für das GruppenrückschreibenPermissions for Group Writeback

    Um Berechtigungen für das AD DS-Connector-Konto festzulegen, wenn Gruppenrückschreiben verwendet wird, führen Sie Folgendes aus:To set permissions for the AD DS Connector account when using Group Writeback, run:

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    oderor;

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
    

    Dieses Cmdlet legt die folgenden Berechtigungen fest:This cmdlet will set the following permissions:

    typeType NameName ZugriffAccess Gilt fürApplies To
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Generisches Lesen/SchreibenGeneric Read/Write Alle Attribute einer Objekttypgruppe und von UnterobjektenAll attributes of object type group and subobjects
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Erstellen/Löschen von untergeordneten ObjektenCreate/Delete child object Alle Attribute einer Objekttypgruppe und von UnterobjektenAll attributes of object type group and subobjects
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Löschen/Löschen von StrukturobjektenDelete/Delete tree objects Alle Attribute einer Objekttypgruppe und von UnterobjektenAll attributes of object type group and subobjects

    Berechtigungen für eine Exchange-HybridbereitstellungPermissions for Exchange Hybrid Deployment

    Um Berechtigungen für das AD DS-Connector-Konto festzulegen, wenn eine Exchange-Hybridbereitstellung verwendet wird, führen Sie Folgendes aus:To set permissions for the AD DS Connector account when using Exchange Hybrid deployment, run:

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    oderor;

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Dieses Cmdlet legt die folgenden Berechtigungen fest:This cmdlet will set the following permissions:

    typeType NameName ZugriffAccess Gilt fürApplies To
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Lesen/Schreiben für alle EigenschaftenRead/Write all properties Nachfolger-BenutzerobjekteDescendant User objects
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Lesen/Schreiben für alle EigenschaftenRead/Write all properties Nachfolger-InetOrgPerson-ObjekteDescendant InetOrgPerson objects
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Lesen/Schreiben für alle EigenschaftenRead/Write all properties Nachfolger-GruppenobjekteDescendant Group objects
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Lesen/Schreiben für alle EigenschaftenRead/Write all properties Nachfolger-KontaktobjekteDescendant Contact objects

    Berechtigungen für öffentliche Exchange-E-Mail-Ordner (Vorschau)Permissions for Exchange Mail Public Folders (Preview)

    Um Berechtigungen für das AD DS-Connector-Konto festzulegen, wenn die Funktion für öffentliche Exchange-E-Mail-Ordner verwendet wird, führen Sie Folgendes aus:To set permissions for the AD DS Connector account when using Exchange Mail Public Folders feature, run:

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    oderor;

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Dieses Cmdlet legt die folgenden Berechtigungen fest:This cmdlet will set the following permissions:

    typeType NameName ZugriffAccess Gilt fürApplies To
    AllowAllow AD DS-Connector-KontoAD DS Connector Account Alle Eigenschaften lesenRead all properties Nachfolger-PublicFolder-ObjekteDescendant PublicFolder objects

    Einschränken der Berechtigungen für das AD DS-Connector-KontoRestrict Permissions on the AD DS Connector Account

    Dieses PowerShell-Skript verschärft die Berechtigungen für das AD-Connector-Konto, das als Parameter angegeben wird.This PowerShell script will tighten permissions for the AD Connector Account provided as a parameter. Das Verschärfen von Berechtigungen umfasst die folgenden Schritte:Tightening permissions involves the following steps:

    • Deaktivieren der Vererbung für das angegebene ObjektDisable inheritance on the specified object

    • Entfernen aller ACEs für das angegebene Objekt, mit Ausnahme von für SELF spezifischen ACEs, da wir die Standardberechtigungen bezüglich SELF intakt lassen möchten.Remove all ACEs on the specific object, except ACEs specific to SELF as we want to keep the default permissions intact when it comes to SELF.

      Der Parameter „-ADConnectorAccountDN“ ist das AD-Konto, dessen Berechtigungen verschärft werden sollen.The -ADConnectorAccountDN parameter is the AD account whose permissions need to be tightened. Dies ist normalerweise das Domänenkonto „MSOL_nnnnnnnnnnnn“, das im AD DS-Connector konfiguriert ist (siehe „Bestimmen Ihres AD DS-Connector-Kontos“).This is typically the MSOL_nnnnnnnnnnnn domain account that is configured in the AD DS Connector (see Determine your AD DS Connector Account). Der Parameter „-Credential“ ist erforderlich, um das Administratorkonto anzugeben, das die erforderlichen Berechtigungen besitzt, um Active Directory-Berechtigungen für das AD-Zielobjekt einzuschränken.The -Credential parameter is necessary to specify the Administrator account that has the necessary privileges to restrict Active Directory permissions on the target AD object. Dies ist normalerweise der Unternehmens- oder Domänenadministrator.This is typically the Enterprise or Domain Administrator.

    Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>] 
    

    Beispiel:For Example:

    $credential = Get-Credential 
    Set-ADSyncRestrictedPermissions -ADConnectorAccountDN'CN=ADConnectorAccount,CN=Users,DC=Contoso,DC=com' -Credential $credential  
    

    Dieses Cmdlet legt die folgenden Berechtigungen fest:This cmdlet will set the following permissions:

    typeType NameName ZugriffAccess Gilt fürApplies To
    AllowAllow SYSTEMSYSTEM VollzugriffFull Control Dieses ObjektThis object
    AllowAllow OrganisationsadministratorenEnterprise Admins VollzugriffFull Control Dieses ObjektThis object
    AllowAllow DomänenadministratorenDomain Admins VollzugriffFull Control Dieses ObjektThis object
    AllowAllow AdministratorenAdministrators VollzugriffFull Control Dieses ObjektThis object
    AllowAllow Domänencontroller des UnternehmensEnterprise Domain Controllers Inhalt auflistenList Contents Dieses ObjektThis object
    AllowAllow Domänencontroller des UnternehmensEnterprise Domain Controllers Alle Eigenschaften lesenRead All Properties Dieses ObjektThis object
    AllowAllow Domänencontroller des UnternehmensEnterprise Domain Controllers LeseberechtigungenRead Permissions Dieses ObjektThis object
    AllowAllow Authentifizierte BenutzerAuthenticated Users Inhalt auflistenList Contents Dieses ObjektThis object
    AllowAllow Authentifizierte BenutzerAuthenticated Users Alle Eigenschaften lesenRead All Properties Dieses ObjektThis object
    AllowAllow Authentifizierte BenutzerAuthenticated Users LeseberechtigungenRead Permissions Dieses ObjektThis object

    Nächste SchritteNext Steps