Azure AD Connect: Konten und BerechtigungenAzure AD Connect: Accounts and permissions

Für Azure AD Connect verwendete KontenAccounts used for Azure AD Connect

Kontenübersicht

Azure AD Connect nutzt 3 Konten, um Informationen aus lokalen Verzeichnissen oder Windows Server Active Directory mit Azure Active Directory zu synchronisieren.Azure AD Connect uses 3 accounts in order to synchronize information from on-premises or Windows Server Active Directory to Azure Active Directory. Diese Konten sind:These accounts are:

  • AD DS-Connector-Konto: Wird zum Lesen/Schreiben von Informationen in Windows Server Active Directory verwendetAD DS Connector account: used to read/write information to Windows Server Active Directory

  • ADSync-Dienstkonto: Wird zum Ausführen des Synchronisierungsdiensts und zum Zugreifen auf die SQL-Datenbank verwendetADSync service account: used to run the synchronization service and access the SQL database

  • Azure AD-Connector-Konto: Wird zum Schreiben von Informationen in Azure AD verwendetAzure AD Connector account: used to write information to Azure AD

Zusätzlich zu diesen drei Konten, die zum Ausführen von Azure AD Connect ausgeführt werden, benötigen Sie außerdem die folgenden zusätzlichen Konten, um Azure AD Connect zu installieren.In addition to these three accounts used to run Azure AD Connect, you will also need the following additional accounts to install Azure AD Connect. Dies sind:These are:

  • Lokales Administratorkonto: Der Administrator, der Azure AD Connect installiert und über lokale Administratorberechtigungen für den Computer verfügt.Local Administrator account: The administrator who is installing Azure AD Connect and who has local Administrator permissions on the machine.

  • AD DS-Unternehmensadministratorkonto: Wird optional verwendet, um das obige AD DS-Connector-Konto zu erstellen.AD DS Enterprise Administrator account: Optionally used to create the “AD DS Connector account” above.

  • Azure AD Global Administrator-Konto: Wird zum Erstellen des Azure AD-Connector-Kontos und zum Konfigurieren von Azure AD verwendet.Azure AD Global Administrator account: used to create the Azure AD Connector account and configure Azure AD.

  • SQL SA-Konto (optional) : Wird zum Erstellen der ADSync-Datenbank verwendet, wenn die Vollversion von SQL Server installiert ist.SQL SA account (optional): used to create the ADSync database when using the full version of SQL Server. Dieser SQL Server kann lokal oder remote zur Azure AD Connect-Installation vorliegen.This SQL Server may be local or remote to the Azure AD Connect installation. Dabei kann es sich um das gleiche Konto handeln wie bei Enterprise Administrator.This account may be the same account as the Enterprise Administrator. Der SQL-Administrator kann nun eine Out-of-Band-Datenbankbereitstellung ausführen, sodass die Datenbank anschließend vom Azure AD Connect-Administrator mit Datenbankbesitzerrechten installiert werden kann.Provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights. Weitere Informationen finden Sie unter Installieren von Azure AD Connect mit Berechtigungen eines delegierten SQL-Administrators.For information on this see Install Azure AD Connect using SQL delegated administrator permissions

Hinweis

Es wird unterstützt, um die in Azure AD Connect verwendeten Administratorkonten über eine administrative ESAE-Gesamtstruktur (auch „Red Forest“ genannt) verwalten zu können.It is supported to manage the administrative accounts used in Azure AD Connect from an ESAE Administrative Forest (also know as "Red forest"). Mithilfe dedizierter administrativer Gesamtstrukturen können Organisationen Administratorkonten, Arbeitsstationen und Gruppen in einer Umgebung hosten, die über bessere Sicherheitskontrollen verfügt als die Produktionsumgebung.Dedicated administrative forests allow organizations to host administrative accounts, workstations, and groups in an environment that has stronger security controls than the production environment. Weitere Informationen zu dedizierten administrativen Gesamtstrukturen finden Sie unter ESAE Administrative Forest Design Approach (ESAE-Ansatz für administrative Gesamtstrukturen).To learn more about dedicated administrative forests please refer to ESAE Administrative Forest Design Approach

Installieren von Azure AD ConnectInstalling Azure AD Connect

Der Azure AD Connect-Installations-Assistent bietet zwei verschiedene Methoden:The Azure AD Connect installation wizard offers two different paths:

  • Für die Expresseinstellungen benötigt der Assistent höhere Berechtigungen.In Express Settings, the wizard requires more privileges. So können Sie Ihre Konfiguration problemlos einrichten, ohne Benutzer erstellen oder Berechtigungen konfigurieren zu müssen.This is so that it can set up your configuration easily, without requiring you to create users or configure permissions.
  • In den benutzerdefinierten Einstellungen bietet der Assistent mehr Auswahlmöglichkeiten und Optionen.In Custom Settings, the wizard offers you more choices and options. Es gibt jedoch Situationen, in denen Sie sicherstellen müssen, dass Sie selbst über die richtigen Berechtigungen verfügen.However, there are some situations in which you need to ensure you have the correct permissions yourself.

Installation mit Express-EinstellungenExpress settings installation

In den Expresseinstellungen benötigt der Installationsassistent folgende Anmeldeinformationen:In Express settings, the installation wizard asks for the following:

  • AD DS Enterprise Administrator-AnmeldeinformationenAD DS Enterprise Administrator credentials
  • Azure AD Global Administrator-AnmeldeinformationenAzure AD Global Administrator credentials

AD DS Enterprise Admin-AnmeldeinformationenAD DS Enterprise Admin credentials

Das AD DS Enterprise Admin-Konto wird zum Konfigurieren Ihres lokales Active Directorys verwendet.The AD DS Enterprise Admin account is used to configure your on-premises Active Directory. Diese Anmeldeinformationen werden während der Installation verwendet, nach Abschluss der Installation jedoch nicht mehr.These credentials are only used during the installation and are not used after the installation has completed. Enterprise-Administratoren und nicht Domänenadministratoren sollten sicherstellen, dass die Berechtigungen in Active Directory in allen Domänen festgelegt werden können.The Enterprise Admin, not the Domain Admin should make sure the permissions in Active Directory can be set in all domains.

Bei einem Upgrade von DirSync werden die Anmeldeinformationen des AD DS-Unternehmensadministrators verwendet, um das Kennwort für das von DirSync verwendete Konto zurückzusetzen.If you are upgrading from DirSync, the AD DS Enterprise Admins credentials are used to reset the password for the account used by DirSync. Sie müssen außerdem über die Anmeldeinformationen eines globalen Azure AD-Administrators verfügen.You also need Azure AD Global Administrator credentials.

Anmeldeinformationen eines globalen Azure AD-AdministratorsAzure AD Global Admin credentials

Diese Anmeldeinformationen werden während der Installation verwendet, nach Abschluss der Installation jedoch nicht mehr.These credentials are only used during the installation and are not used after the installation has completed. Sie dienen zum Erstellen des Azure AD Connector-Kontos, das zum Synchronisieren der Änderungen mit Azure AD verwendet wird.It is used to create the Azure AD Connector account used for synchronizing changes to Azure AD. Das Konto aktiviert auch die Synchronisierung als Feature in Azure AD.The account also enables sync as a feature in Azure AD.

AD DS Connector-Konto zum Erstellen von Berechtigungen für ExpresseinstellungenAD DS Connector account required permissions for express settings

Das AD DS Connector-Konto wird zum Erstellen von Lese- und Schreibvorgängen in Windows Server AD erstellt und besitzt die folgenden Berechtigungen, wenn es mit den Expresseinstellungen erstellt wird:The AD DS Connector account is created for reading and writing to Windows Server AD and has the following permissions when created by express settings:

BerechtigungPermission VerwendungUsed for
  • Verzeichnisänderungen replizierenReplicate Directory Changes
  • Verzeichnisänderungen replizieren: AlleReplicate Directory Changes All
  • KennworthashsynchronisierungPassword hash sync
    Alle Eigenschaften lesen/schreiben: BenutzerRead/Write all properties User Importieren und Exchange-HybridbereitstellungImport and Exchange hybrid
    Alle Eigenschaften lesen/schreiben: iNetOrgPersonRead/Write all properties iNetOrgPerson Importieren und Exchange-HybridbereitstellungImport and Exchange hybrid
    Alle Eigenschaften lesen/schreiben: GruppeRead/Write all properties Group Importieren und Exchange-HybridbereitstellungImport and Exchange hybrid
    Alle Eigenschaften lesen/schreiben: KontaktRead/Write all properties Contact Importieren und Exchange-HybridbereitstellungImport and Exchange hybrid
    Kennwort zurücksetzenReset password Vorbereitung für das Aktivieren des Rückschreibens von KennwörternPreparation for enabling password writeback

    Assistent für die Expressinstallation – ZusammenfassungExpress installation wizard summary

    Expressinstallation

    Nachfolgend finden Sie eine Übersicht über die Seiten des Assistenten für die Expressinstallation, die gesammelten Anmeldeinformationen und deren Verwendungszweck.The following is a summary of the express installation wizard pages, the credentials collected, and what they are used for.

    Seite des AssistentenWizard Page Erfasste AnmeldeinformationenCredentials Collected Erforderliche BerechtigungenPermissions Required VerwendungUsed For
    N/A Benutzer, der den Installations-Assistenten ausführtUser running the installation wizard Administrator des lokalen ServersAdministrator of the local server
  • Erstellt das ADSync-Dienstkonto, das zum Ausführen des Synchronisierungsdiensts verwendet wird.Creates the ADSync service account that is used as to run the synchronization service.
  • Stellen Sie eine Verbindung mit Azure AD her.Connect to Azure AD Azure AD-VerzeichnisanmeldeinformationenAzure AD directory credentials Globale Administratorrolle in Azure ADGlobal administrator role in Azure AD
  • Aktivieren der Synchronisierung im Azure AD-VerzeichnisEnabling sync in the Azure AD directory.
  • Erstellt das Azure AD Connector-Konto, das für fortlaufende Synchronisierungsvorgänge in Azure AD verwendet wird.Creation of the Azure AD Connector account that is used for on-going sync operations in Azure AD.
  • Herstellen einer Verbindung mit AD DSConnect to AD DS Lokale Active Directory-AnmeldeinformationenOn-premises Active Directory credentials Mitglied der Gruppe „Unternehmensadministratoren“ in Active DirectoryMember of the Enterprise Admins (EA) group in Active Directory
  • Erstellt ein AD DS Connector-Konto in Active Directory und gewährt Zugriff darauf.Creates the AD DS Connector account in Active Directory and grants permissions to it. Dieses erstellte Konto dient zum Lesen und Schreiben von Verzeichnisinformationen während der Synchronisierung.This created account is used to read and write directory information during synchronization.
  • Einstellungen für die benutzerdefinierte InstallationCustom installation settings

    Mit den benutzerdefinierten Installationseinstellungen bietet der Assistent mehr Auswahlmöglichkeiten und Optionen.With the custom settings installation, the wizard offers you more choices and options.

    Assistent für die benutzerdefinierte Installation – ZusammenfassungCustom installation wizard summary

    Nachfolgend finden Sie eine Übersicht über die Seiten des Assistenten für die benutzerdefinierte Installation, die gesammelten Anmeldeinformationen und deren Verwendungszweck.The following is a summary of the custom installation wizard pages, the credentials collected, and what they are used for.

    Expressinstallation

    Seite des AssistentenWizard Page Erfasste AnmeldeinformationenCredentials Collected Erforderliche BerechtigungenPermissions Required VerwendungUsed For
    N/A Benutzer, der den Installations-Assistenten ausführtUser running the installation wizard
  • Administrator des lokalen ServersAdministrator of the local server
  • Bei Verwendung einer vollständigen SQL Server-Instanz muss der Benutzer Systemadministrator (SA) in SQL sein.If using a full SQL Server, the user must be System Administrator (SA) in SQL
  • Erstellt standardmäßig das lokale Konto, das als Dienstkonto für das Synchronisierungsmodul verwendet wird.By default, creates the local account that is used as the sync engine service account. Das Konto wird nur erstellt, wenn der Administrator kein bestimmtes Konto angibt.The account is only created when the admin does not specify a particular account.
    „Synchronisierungsdienste installieren“, Option „Dienstkonto“Install synchronization services, Service account option Anmeldeinformationen für Active Directory- oder lokale KontenAD or local user account credentials Benutzerberechtigungen werden vom Installations-Assistenten gewährtUser, permissions are granted by the installation wizard Wenn der Administrator ein Konto angibt, wird dieses Konto als Dienstkonto für den Synchronisierungsdienst verwendet.If the admin specifies an account, this account is used as the service account for the sync service.
    Stellen Sie eine Verbindung mit Azure AD her.Connect to Azure AD Azure AD-VerzeichnisanmeldeinformationenAzure AD directory credentials Globale Administratorrolle in Azure ADGlobal administrator role in Azure AD
  • Aktivieren der Synchronisierung im Azure AD-VerzeichnisEnabling sync in the Azure AD directory.
  • Erstellt das Azure AD Connector-Konto, das für fortlaufende Synchronisierungsvorgänge in Azure AD verwendet wird.Creation of the Azure AD Connector account that is used for on-going sync operations in Azure AD.
  • Verzeichnisse verbindenConnect your directories Lokale Active Directory-Anmeldeinformationen für jede Gesamtstruktur, die mit Azure AD verbunden wirdOn-premises Active Directory credentials for each forest that is connected to Azure AD Die Berechtigungen hängen davon ab, welche Funktionen Sie aktivieren. Sie finden diese unter „Erstellen des AD DS-Kontos“.The permissions depend on which features you enable and can be found in Create the AD DS Connector account Dieses Konto dient zum Lesen und Schreiben von Verzeichnisinformationen während der Synchronisierung.This account is used to read and write directory information during synchronization.
    AD FS-ServerAD FS Servers Für jeden Server in der Liste sammelt der Assistent Anmeldeinformationen, wenn die Anmeldeinformationen des Benutzers, der den Assistenten ausführt, nicht für die Verbindung ausreichen.For each server in the list, the wizard collects credentials when the sign-in credentials of the user running the wizard are insufficient to connect DomänenadministratorDomain Administrator Installieren und Konfigurieren der AD FS-Server-Rolle.Installation and configuration of the AD FS server role.
    Webanwendungsproxy-ServerWeb application proxy servers Für jeden Server in der Liste sammelt der Assistent Anmeldeinformationen, wenn die Anmeldeinformationen des Benutzers, der den Assistenten ausführt, nicht für die Verbindung ausreichen.For each server in the list, the wizard collects credentials when the sign-in credentials of the user running the wizard are insufficient to connect Lokaler Administrator auf dem ZielcomputerLocal admin on the target machine Installieren und Konfigurieren der WAP-Server-Rolle.Installation and configuration of WAP server role.
    Anmeldeinformationen der ProxyvertrauensstellungProxy trust credentials Anmeldeinformationen der Verbunddienstvertrauensstellung (die Anmeldeinformationen, die der Proxy zur Registrierung für ein Zertifikat für die Vertrauensstellung vom FS verwendet)Federation service trust credentials (the credentials the proxy uses to enroll for a trust certificate from the FS Domänenkonto, dessen Benutzer ein lokaler Administrator des AD FS-Servers istDomain account that is a local administrator of the AD FS server Erste Registrierung des vertrauenswürdigen FS-WAP-Zertifikats.Initial enrollment of FS-WAP trust certificate.
    Seite „AD FS-Dienstkonto“, Option „Domänenbenutzerkonto verwenden“AD FS Service Account page, "Use a domain user account option" Anmeldeinformationen für das Active Directory-BenutzerkontoAD user account credentials DomänenbenutzerDomain user Das Azure AD-Benutzerkonto, dessen Anmeldeinformationen bereitgestellt werden, wird als Anmeldekonto des AD FS-Diensts verwendet.The Azure AD user account whose credentials are provided is used as the sign-in account of the AD FS service.

    Erstellen des AD DS-Connector-KontosCreate the AD DS Connector account

    Wichtig

    Mit Build 1.1.880.0 (August 2018 veröffentlicht) wurde ein neues PowerShell-Modul namens „ADSyncConfig.psm1“ eingeführt, das eine Sammlung von Cmdlets enthält, die Ihnen bei der Konfiguration der richtigen Active Directory-Berechtigungen für Ihr Azure AD DS-Connector-Konto helfen sollen.A new PowerShell Module named ADSyncConfig.psm1 was introduced with build 1.1.880.0 (released in August 2018) that includes a collection of cmdlets to help you configure the correct Active Directory permissions for the Azure AD DS Connector account.

    Weitere Informationen hierzu finden Sie unter Azure AD Connect: Konfigurieren der Azure AD DS-Connector-KontoberechtigungFor more information see Azure AD Connect: Configure AD DS Connector Account Permission

    Das Konto, das Sie auf der Seite Verzeichnisse verbinden angeben, muss vor der Installation bereits in Active Directory vorhanden sein.The account you specify on the Connect your directories page must be present in Active Directory prior to installation. In Azure AD Connect Version 1.1.524.0 und höher kann der Azure AD Connect-Assistent das AD DS Connector-Konto erstellen, das zum Herstellen der Verbindung mit Active Directory verwendet wird.Azure AD Connect version 1.1.524.0 and later has the option to let the Azure AD Connect wizard create the AD DS Connector account used to connect to Active Directory.

    Es muss auch über die erforderlichen Berechtigungen verfügen.It must also have the required permissions granted. Der Installations-Assistent führt keine Überprüfung der Berechtigungen durch, mögliche Probleme werden erst während der Synchronisierung ermittelt.The installation wizard does not verify the permissions and any issues are only found during synchronization.

    Welche Berechtigungen Sie benötigen, hängt von den aktivierten optionalen Funktionen ab.Which permissions you require depends on the optional features you enable. Wenn Sie über mehrere Domänen verfügen, müssen die Berechtigungen für alle Domänen in der Gesamtstruktur erteilt werden.If you have multiple domains, the permissions must be granted for all domains in the forest. Wenn Sie keine dieser Features aktivieren, sind die Domänenbenutzer -Standardberechtigungen ausreichend.If you do not enable any of these features, the default Domain User permissions are sufficient.

    FeatureFeature BerechtigungenPermissions
    ms-DS-ConsistencyGuidms-DS-ConsistencyGuid feature Schreibberechtigungen für das Attribut „ms-DS-ConsistencyGuid“, das unter Entwurfskonzepte – Verwendung von „ms-DS-ConsistencyGuid“ als „sourceAnchor“ dokumentiert ist.Write permissions to the ms-DS-ConsistencyGuid attribute documented in Design Concepts - Using ms-DS-ConsistencyGuid as sourceAnchor.
    KennworthashsynchronisierungPassword hash sync
  • Verzeichnisänderungen replizierenReplicate Directory Changes
  • Verzeichnisänderungen replizieren: AlleReplicate Directory Changes All
  • Exchange-HybridbereitstellungExchange hybrid deployment Schreibberechtigungen für die Attribute, die in Exchange-Hybridrückschreiben für Benutzer, Gruppen und Kontakte dokumentiert sindWrite permissions to the attributes documented in Exchange hybrid writeback for users, groups, and contacts.
    Öffentlicher Exchange-E-Mail-OrdnerExchange Mail Public Folder Leseberechtigungen für die Attribute, die im öffentlichen Exchange-E-Mail-Ordner für öffentliche Ordner dokumentiert sind.Read permissions to the attributes documented in Exchange Mail Public Folder for public folders.
    KennwortrückschreibenPassword writeback Schreibberechtigungen für die Attribute, die in Erste Schritte mit der Kennwortverwaltung für Benutzer dokumentiert sindWrite permissions to the attributes documented in Getting started with password management for users.
    GeräterückschreibenDevice writeback Berechtigungen, die mit einem PowerShell-Skript erteilt wurden, wie unter GeräterückschreibenbeschriebenPermissions granted with a PowerShell script as described in device writeback.
    GruppenrückschreibenGroup writeback Ermöglicht das Rückschreiben von Office 365-Gruppen in eine Gesamtstruktur, in der Exchange installiert ist.Allows you to writeback Office 365 Groups to a forest with Exchange installed. Weitere Informationen finden Sie unter Gruppenrückschreiben.For more information see Group Writeback.

    UpgradeUpgrade

    Wenn Sie Azure AD Connect auf eine höhere Version aktualisieren, benötigen Sie folgende Berechtigungen:When you upgrade from one version of Azure AD Connect to a new release, you need the following permissions:

    Wichtig

    Seit Build 1.1.484 tritt in Azure AD Connect ein Regressionsfehler auf, aufgrund dessen zum Aktualisieren der SQL-Datenbank Systemadministratorberechtigungen erforderlich sind.Starting with build 1.1.484, Azure AD Connect introduced a regression bug which requires sysadmin permissions to upgrade the SQL database. Dieser Fehler wurde in Build 1.1.647 behoben.This bug is corrected in build 1.1.647. Für das Upgrade auf diesen Build benötigen Sie Systemadministratorberechtigungen.If you are upgrading to this build, you will need sysadmin permissions. dbo-Berechtigungen sind nicht ausreichend.Dbo permissions are not sufficient. Wenn Sie versuchen, Azure AD Connect ohne Systemadministratorberechtigungen zu aktualisieren, tritt ein Fehler auf, und Azure AD Connect funktioniert anschließend nicht mehr ordnungsgemäß.If you attempt to upgrade Azure AD Connect without having sysadmin permissions, the upgrade will fail and Azure AD Connect will no longer function correctly afterwards. Microsoft ist sich dieses Problems bewusst und arbeitet an einer Lösung.Microsoft is aware of this and is working to correct this.

    PrinzipalPrincipal Erforderliche BerechtigungenPermissions required VerwendungUsed for
    Benutzer, der den Installations-Assistenten ausführtUser running the installation wizard Administrator des lokalen ServersAdministrator of the local server Aktualisieren von Binärdateien.Update binaries.
    Benutzer, der den Installations-Assistenten ausführtUser running the installation wizard Mitglied von ADSyncAdminsMember of ADSyncAdmins Vornehmen von Änderungen an den Synchronisierungsregeln und anderen Konfigurationen.Make changes to Sync Rules and other configuration.
    Benutzer, der den Installations-Assistenten ausführtUser running the installation wizard Wenn Sie einen vollständigen SQL-Server verwenden: DBO (oder ähnliches) der Datenbank für das SynchronisierungsmodulIf you use a full SQL server: DBO (or similar) of the sync engine database Vornehmen von Änderungen auf Datenbankebene, z. B. Aktualisieren von Tabellen mit neuen Spalten.Make database level changes, such as updating tables with new columns.

    Weitere Informationen zu den erstellten KontenMore about the created accounts

    AD DS Connector-KontoAD DS Connector account

    Wenn Sie Express-Einstellungen verwenden, wird ein Konto für die Synchronisierung in Active Directory erstellt.If you use express settings, then an account is created in Active Directory that is used for synchronization. Das erstellte Konto befindet sich in der Stammdomäne der Gesamtstruktur im Benutzercontainer, und sein Name ist mit dem Präfix MSOL_ versehen.The created account is located in the forest root domain in the Users container and has its name prefixed with MSOL_. Das Konto wird mit einem langen, komplexen Kennwort erstellt, das nicht abläuft.The account is created with a long complex password that does not expire. Wenn Sie über eine Kennwortrichtlinie in der Domäne verfügen, stellen Sie sicher, dass lange und komplexe Kennwörter für dieses Konto zulässig sind.If you have a password policy in your domain, make sure long and complex passwords would be allowed for this account.

    AD-Konto

    Wenn Sie benutzerdefinierte Einstellungen verwenden, sind Sie für das Erstellen des Kontos vor Beginn der Installation zuständig.If you use custom settings, then you are responsible for creating the account before you start the installation. Weitere Informationen finden Sie unter „Erstellen des AD DS-Connector-Kontos“.See Create the AD DS Connector account.

    ADSync-DienstkontoADSync service account

    Der Synchronisierungsdienst kann unter verschiedenen Konten ausgeführt werden.The sync service can run under different accounts. Er kann unter einem virtuellen Dienstkonto (VSA), einem gruppenverwalteten Dienstkonto (gMSA/sMSA) oder einem normalen Benutzerkonto ausgeführt werden.It can run under a Virtual Service Account (VSA), a Group Managed Service Account (gMSA/sMSA), or a regular user account. Die unterstützten Optionen wurden mit der Connect-Version von April 2017 geändert und treten in Kraft, wenn Sie eine Neuinstallation durchführen.The supported options were changed with the 2017 April release of Connect when you do a fresh installation. Wenn Sie ein Upgrade von einer früheren Version von Azure AD Connect durchführen, sind diese zusätzlichen Optionen nicht verfügbar.If you upgrade from an earlier release of Azure AD Connect, these additional options are not available.

    KontotypType of account InstallationsoptionInstallation option BESCHREIBUNGDescription
    Virtuelles DienstkontoVirtual Service Account Express und benutzerdefiniert, April 2017 und höherExpress and custom, 2017 April and later Dies ist die Option für alle Expressinstallationen mit Ausnahme von Installationen auf einem Domänencontroller.This is the option used for all express installations, except for installations on a Domain Controller. Für benutzerdefinierte Installationen ist es die Standardoption, sofern keine andere Option verwendet wird.For custom, it is the default option unless another option is used.
    Gruppenverwaltetes DienstkontoGroup Managed Service Account Benutzerdefiniert, April 2017 und höherCustom, 2017 April and later Wenn Sie einen Remotecomputer mit SQL Server verwenden, empfehlen wir den Einsatz eines gruppenverwalteten Dienstkontos.If you use a remote SQL server, then we recommend to use a group managed service account.
    BenutzerkontoUser account Express und benutzerdefiniert, April 2017 und höherExpress and custom, 2017 April and later Ein Benutzerkonto mit dem Präfix „AAD_“ wird nur während der Installation erstellt, wenn diese unter Windows Server 2008 und auf einem Domänencontroller erfolgt.A user account prefixed with AAD_ is only created during installation when installed on Windows Server 2008 and when installed on a Domain Controller.
    BenutzerkontoUser account Express und benutzerdefiniert, März 2017 und früherExpress and custom, 2017 March and earlier Ein lokales Konto mit dem Präfix „AAD_“ wird während der Installation erstellt.A local account prefixed with AAD_ is created during installation. Bei der benutzerdefinierten Installation kann ein anderes Konto angegeben werden.When using custom installation, another account can be specified.

    Wenn Sie Connect mit einem Build von März 2017 und früher verwenden, setzen Sie das Kennwort für das Dienstkonto nicht zurück, da Windows die Verschlüsselungsschlüssel aus Sicherheitsgründen zerstört.If you use Connect with a build from 2017 March or earlier, then you should not reset the password on the service account since Windows destroys the encryption keys for security reasons. Sie können das Konto nicht in ein anderes Konto ändern, ohne Azure AD Connect neu zu installieren.You cannot change the account to any other account without reinstalling Azure AD Connect. Wenn Sie ein Upgrade auf einen Build von April 2017 oder höher durchführen, wird das Ändern des Kennworts für das Dienstkonto unterstützt. Sie können jedoch nicht das verwendete Konto ändern.If you upgrade to a build from 2017 April or later, then it is supported to change the password on the service account but you cannot change the account used.

    Wichtig

    Sie können das Dienstkonto nur bei der erstmaligen Installation festlegen.You can only set the service account on first installation. Das Ändern des Dienstkontos nach Abschluss der Installation wird nicht unterstützt.It is not supported to change the service account after the installation has completed.

    Hier sehen Sie eine Tabelle mit den Standard-, den empfohlenen und den unterstützten Optionen für das Synchronisierungsdienstkonto.This is a table of the default, recommended, and supported options for the sync service account.

    Legende:Legend:

    • Fettformatierung kennzeichnet die Standardoption, die in den meisten Fällen der empfohlenen Option entspricht.Bold indicates the default option and in most cases the recommended option.
    • Kursivformatierung kennzeichnet die empfohlene Option, sofern diese nicht mit der Standardoption übereinstimmt.Italic indicates the recommended option when it is not the default option.
    • 2008: Standardoption bei der Installation unter Windows Server 20082008 - Default option when installed on Windows Server 2008
    • Nicht fett formatiert: unterstützte OptionNon-bold - Supported option
    • Lokales Konto: lokales Benutzerkonto auf dem ServerLocal account - Local user account on the server
    • Domänenkonto: DomänenbenutzerkontoDomain account - Domain user account
    • sMSA: eigenständig verwaltetes DienstkontosMSA - standalone Managed Service account
    • gMSA: gruppenverwaltetes DienstkontogMSA - group Managed Service account
    LocalDBLocalDB
    ExpressExpress
    LocalDB/LocalSQLLocalDB/LocalSQL
    BenutzerdefiniertCustom
    Remote-SQLRemote SQL
    BenutzerdefiniertCustom
    Eigenständiger/Arbeitsgruppencomputerstandalone/workgroup machine Nicht unterstütztNot supported VSAVSA
    Lokales Konto (2008)Local account (2008)
    Lokales KontoLocal account
    Nicht unterstütztNot supported
    In die Domäne eingebundener Computerdomain-joined machine VSAVSA
    Lokales Konto (2008)Local account (2008)
    VSAVSA
    Lokales Konto (2008)Local account (2008)
    Lokales KontoLocal account
    DomänenkontoDomain account
    sMSA, gMSAsMSA,gMSA
    gMSAgMSA
    DomänenkontoDomain account
    DomänencontrollerDomain Controller DomänenkontoDomain account gMSAgMSA
    DomänenkontoDomain account
    sMSAsMSA
    gMSAgMSA
    DomänenkontoDomain account

    Virtuelles DienstkontoVirtual service account

    Ein virtuelles Dienstkonto ist ein besonderer Kontotyp, der nicht über ein Kennwort verfügt und von Windows verwaltet wird.A virtual service account is a special type of account that does not have a password and is managed by Windows.

    VSA

    Das VSA ist für den Einsatz in Szenarien vorgesehen, in denen das Synchronisierungsmodul und SQL sich auf demselben Server befinden.The VSA is intended to be used with scenarios where the sync engine and SQL are on the same server. Wenn Sie einen SQL-Remotecomputer verwenden, empfehlen wir stattdessen den Einsatz eines gruppenverwalteten Dienstkontos.If you use remote SQL, then we recommend to use a Group Managed Service Account instead.

    Für dieses Feature ist Windows Server 2008 R2 oder höher erforderlich.This feature requires Windows Server 2008 R2 or later. Wenn Sie Azure AD Connect unter Windows Server 2008 installieren, wird bei der Installation automatisch ein Benutzerkonto verwendet.If you install Azure AD Connect on Windows Server 2008, then the installation falls back to using a user account instead.

    Gruppenverwaltetes DienstkontoGroup managed service account

    Wenn Sie einen Remotecomputer mit SQL Server verwenden, empfehlen wir den Einsatz eines gruppenverwalteten Dienstkontos.If you use a remote SQL server, then we recommend to using a group managed service account. Weitere Informationen zum Vorbereiten von Active Directory für das gruppenverwaltete Benutzerkonto finden Sie unter Gruppenverwaltete Dienstkonten: Übersicht.For more information on how to prepare your Active Directory for Group Managed Service account, see Group Managed Service Accounts Overview.

    Um diese Option zu verwenden, wählen Sie auf der Seite Erforderliche Komponenten installieren die Optionen Vorhandenes Dienstkonto verwenden und Verwaltetes Dienstkonto.To use this option, on the Install required components page, select Use an existing service account, and select Managed Service Account.
    VSAVSA
    Die Verwendung eines eigenständig verwalteten Dienstkontos wird ebenfalls unterstützt.It is also supported to use a standalone managed service account. Diese Konten können jedoch nur auf dem lokalen Computer verwendet werden, und es gibt keinen praktischen Vorteil gegenüber dem virtuellen Standarddienstkonto.However, these can only be used on the local machine and there is no benefit to use them over the default virtual service account.

    Für dieses Feature ist Windows Server 2012 oder höher erforderlich.This feature requires Windows Server 2012 or later. Wenn Sie ein älteres Betriebssystem und Remote-SQL einsetzen, müssen Sie ein Benutzerkonto verwenden.If you need to use an older operating system and use remote SQL, then you must use a user account.

    BenutzerkontoUser account

    Der Installations-Assistent erstellt ein lokales Dienstkonto (sofern das Konto nicht zur Verwendung in benutzerdefinierten Einstellungen angegeben wird).A local service account is created by the installation wizard (unless you specify the account to use in custom settings). Das Konto ist mit dem Präfix AAD_ versehen und wird zur Ausführung des eigentlichen Synchronisierungsdiensts verwendet.The account is prefixed AAD_ and used for the actual sync service to run as. Wenn Sie Azure AD Connect auf einem Domänencontroller installieren, wird das Konto in der Domäne erstellt.If you install Azure AD Connect on a Domain Controller, the account is created in the domain. Das Dienstkonto AAD_ muss sich in folgenden Fällen in der Domäne befinden:The AAD_ service account must be located in the domain if:

    • Sie verwenden einen Remoteserver, auf dem SQL Server ausgeführt wird.you use a remote server running SQL server
    • Sie verwenden einen Proxy, der Authentifizierung erfordert.you use a proxy that requires authentication

    Synchronisierungsdienstkonto

    Das Konto wird mit einem langen, komplexen Kennwort erstellt, das nicht abläuft.The account is created with a long complex password that does not expire.

    Dieses Konto wird verwendet, um die Kennwörter für die anderen Konten auf sichere Weise zu speichern.This account is used to store the passwords for the other accounts in a secure way. Die Kennwörter dieser Konten sind verschlüsselt in der Datenbank gespeichert.These other accounts passwords are stored encrypted in the database. Die privaten Schlüssel für die Verschlüsselungsschlüssel sind mit der Verschlüsselung mit geheimem Schlüssel für kryptografische Dienste mithilfe der Windows-Datenschutz-API (DPAPI) geschützt.The private keys for the encryption keys are protected with the cryptographic services secret-key encryption using Windows Data Protection API (DPAPI).

    Bei Verwendung einer SQL Server-Instanz mit vollem Funktionsumfang wird das Dienstkonto zum DBO der Datenbank, die für das Synchronisierungsmodul erstellt wurde.If you use a full SQL Server, then the service account is the DBO of the created database for the sync engine. Der Dienst funktioniert mit anderen Berechtigungen nicht wie vorgesehen.The service will not function as intended with any other permissions. Darüber hinaus wird eine SQL-Anmeldung erstellt.A SQL login is also created.

    Das Konto erhält auch Berechtigungen für Dateien, Registrierungsschlüssel und andere Objekte im Zusammenhang mit dem Synchronisierungsmodul.The account is also granted permissions to files, registry keys, and other objects related to the Sync Engine.

    Azure AD Connector-KontoAzure AD Connector account

    Zur Verwendung durch den Synchronisierungsdienst wird ein Konto in Azure AD erstellt.An account in Azure AD is created for the sync service's use. Dieses Konto kann anhand des Anzeigenamens identifiziert werden.This account can be identified by its display name.

    AD-Konto

    Der Name des Servers, auf dem das Konto verwendet wird, kann im zweiten Teil des Benutzernamens identifiziert werden.The name of the server the account is used on can be identified in the second part of the user name. In der Abbildung oben heißt der Server „DC1“.In the picture, the server name is DC1. Wenn Sie über Stagingserver verfügen, erhält jeder Server ein eigenes Konto.If you have staging servers, each server has its own account.

    Das Konto wird mit einem langen, komplexen Kennwort erstellt, das nicht abläuft.The account is created with a long complex password that does not expire. Diesem wird eine besondere Rolle Konten für die Verzeichnissynchronisierungsaufgaben zugewiesen, die nur über Berechtigungen zur Ausführung von Verzeichnissynchronisierungsaufgaben verfügt.It is granted a special role Directory Synchronization Accounts that has only permissions to perform directory synchronization tasks. Diese besondere integrierte Rolle kann nicht außerhalb des Azure AD Connect-Assistenten gewährt werden.This special built-in role cannot be granted outside of the Azure AD Connect wizard. Im Azure-Portal wird dieses Konto mit der Rolle Benutzer angezeigt.The Azure portal shows this account with the role User.

    Es besteht eine Beschränkung auf 20 Synchronisierungsdienstkonten in Azure AD.There is a limit of 20 sync service accounts in Azure AD. Um die Liste der vorhandenen Azure AD-Dienstkonten in Azure AD abzurufen, führen Sie das folgende Azure AD PowerShell-Cmdlet aus: Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMemberTo get the list of existing Azure AD service accounts in your Azure AD, run the following Azure AD PowerShell cmdlet: Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMember

    Um nicht verwendete Azure AD-Dienstkonten zu entfernen, führen Sie das folgende Azure AD PowerShell-Cmdlet aus: Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove>To remove unused Azure AD service accounts, run the following Azure AD PowerShell cmdlet: Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove>

    Hinweis

    Bevor Sie die oben aufgeführten PowerShell-Befehle verwenden können, müssen Sie Azure Active Directory-PowerShell für das Graph-Modul installieren und mit Connect-AzureAD eine Verbindung zu Ihrer Azure AD-Instanz herstellen.Before you can use the above PowerShell commands you will need to install the Azure Active Directory PowerShell for Graph module and connect to your instance of Azure AD using Connect-AzureAD

    Weitere Informationen zum Verwalten oder Zurücksetzen des Kennworts für das Azure AD Connector-Konto finden Sie unter Verwalten der Azure AD Connect-Konten.For additional information on how to manage or reset the password for the Azure AD Connector account see Manage the Azure AD Connect account

    Wenn Sie die Dokumentation zum Integrieren Ihrer lokalen Identitäten in Azure Active Directory nicht gelesen haben, finden Sie in der folgenden Tabelle Links zu verwandten Themen:If you did not read the documentation on Integrating your on-premises identities with Azure Active Directory, the following table provides links to related topics.

    ThemaTopic LinkLink
    Azure AD Connect herunterladenDownload Azure AD Connect Azure AD Connect herunterladenDownload Azure AD Connect
    Installieren mit den Express-EinstellungenInstall using Express settings Expressinstallation von Azure AD ConnectExpress installation of Azure AD Connect
    Installieren mit benutzerdefinierten EinstellungenInstall using Customized settings Benutzerdefinierte Installation von Azure AD ConnectCustom installation of Azure AD Connect
    Upgrade von DirSyncUpgrade from DirSync Upgrade von Azure AD-Synchronisierungstools (DirSync)Upgrade from Azure AD sync tool (DirSync)
    Nach der InstallationAfter installation Überprüfen der Installation und Zuweisen von LizenzenVerify the installation and assign licenses

    Nächste SchritteNext steps

    Weitere Informationen zum Integrieren lokaler Identitäten in Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.