Azure AD-Verbinding maken: Ad DS Connector-accountmachtigingen configureren

De PowerShell-module met de naam ADSyncConfig.psm1 is geïntroduceerd met build 1.1.880.0 (uitgebracht in augustus 2018) met een verzameling cmdlets waarmee u de juiste Active Directory-machtigingen voor uw Azure AD-Verbinding maken-implementatie kunt configureren.

Overzicht

De volgende PowerShell-cmdlets kunnen worden gebruikt voor het instellen van Active Directory-machtigingen van het AD DS Connector-account, voor elke functie die u selecteert om in te schakelen in Azure AD Verbinding maken. Als u problemen wilt voorkomen, moet u Vooraf Active Directory-machtigingen voorbereiden wanneer u Azure AD Verbinding maken wilt installeren met behulp van een aangepast domeinaccount om verbinding te maken met uw forest. Deze ADSyncConfig-module kan ook worden gebruikt om machtigingen te configureren nadat Azure AD Verbinding maken is geïmplementeerd.

overview of ad ds account

Voor de installatie van Azure AD Verbinding maken Express wordt een automatisch gegenereerd account (MSOL_nnnnnnnnnn) gemaakt in Active Directory met alle benodigde machtigingen, dus u hoeft deze ADSyncConfig-module niet te gebruiken, tenzij u de overname van machtigingen voor organisatie-eenheden of specifieke Active Directory-objecten hebt geblokkeerd die u wilt synchroniseren met Azure AD.

Overzicht van bevoegdheden

De volgende tabel bevat een overzicht van de machtigingen die zijn vereist voor AD-objecten:

Functie Machtigingen
ms-DS-ConsistencyGuid-functie Lees- en schrijfmachtigingen voor het kenmerk ms-DS-ConsistencyGuid beschreven in Ontwerpconcepten - Ms-DS-ConsistencyGuid gebruiken als sourceAnchor.
Wachtwoord-hashsynchronisatie
  • Mapwijzigingen repliceren- vereist voor alleen-lezen
  • Mapwijzigingen allemaal repliceren
  • hybride implementatie Exchange Lees- en schrijfmachtigingen voor de kenmerken die worden beschreven in Exchange hybride writeback voor gebruikers, groepen en contactpersonen.
    Openbare map Exchange e-mail Leesmachtigingen voor de kenmerken die worden beschreven in Exchange Openbare map e-mail voor openbare mappen.
    Wachtwoord terugschrijven Lees- en schrijfmachtigingen voor de kenmerken die worden beschreven in Aan de slag met wachtwoordbeheer voor gebruikers.
    Apparaat terugschrijven Lees- en schrijfmachtigingen voor apparaatobjecten en -containers die worden beschreven in terugschrijven van apparaten.
    Groep terugschrijven Groepsobjecten lezen, maken, bijwerken en verwijderen voor gesynchroniseerde Office 365 groepen.

    De ADSyncConfig PowerShell-module gebruiken

    De ADSyncConfig-module vereist de REMOTE Server Administration Tools (RSAT) voor AD DS, omdat deze afhankelijk is van de AD DS PowerShell-module en hulpprogramma's. Als u RSAT voor AD DS wilt installeren, opent u een Windows PowerShell-venster met Uitvoeren als-beheerder en voert u het volgende uit:

    Install-WindowsFeature RSAT-AD-Tools 
    

    Configure

    Notitie

    U kunt ook het bestand C:\Program Files\Microsoft Azure Active Directory Verbinding maken\AdSyncConfig\ADSyncConfig.psm1 kopiëren naar een domeincontroller waarop RSAT voor AD DS al is geïnstalleerd en deze PowerShell-module gebruiken. Houd er rekening mee dat sommige cmdlets alleen kunnen worden uitgevoerd op de computer waarop Azure AD-Verbinding maken wordt gehost.

    Als u de ADSyncConfig wilt gaan gebruiken, moet u de module laden in een Windows PowerShell-venster:

    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
    

    Als u alle cmdlets in deze module wilt controleren, kunt u het volgende typen:

    Get-Command -Module AdSyncConfig  
    

    Check

    Elke cmdlet heeft dezelfde parameters om het AD DS Connector-account en een adminSDHolder-switch in te voeren. Als u uw AD DS Connector-account wilt opgeven, kunt u de accountnaam en het domein of alleen de DN (DN) van het account opgeven.

    Bijvoorbeeld:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
    

    Of;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
    

    Zorg ervoor dat u deze vervangt <ADAccountName><ADDomainName> en <ADAccountDN> door de juiste waarden voor uw omgeving.

    Als u machtigingen voor de container AdminSDHolder wilt wijzigen, gebruikt u de switch -IncludeAdminSdHolders. Houd er rekening mee dat dit niet wordt aanbevolen.

    Standaard proberen alle setmachtigings-cmdlets AD DS-machtigingen in te stellen voor de hoofdmap van elk domein in het forest, wat betekent dat de gebruiker die de PowerShell-sessie uitvoert domeinbeheerderrechten vereist voor elk domein in het forest. Vanwege deze vereiste is het raadzaam om een ondernemingsbeheerder te gebruiken vanuit de hoofdmap van het forest. Als uw Azure AD-Verbinding maken-implementatie meerdere AD DS-connectors heeft, moet u dezelfde cmdlet uitvoeren voor elk forest met een AD DS-connector.

    U kunt ook machtigingen instellen voor een specifiek OE- of AD DS-object met behulp van de parameter -ADobjectDN gevolgd door de DN van het doelobject waar u machtigingen wilt instellen. Wanneer u een doel-ADobjectDN gebruikt, stelt de cmdlet alleen machtigingen in voor dit object en niet voor de domeinhoofdmap of adminSDHolder-container. Deze parameter kan handig zijn wanneer u bepaalde OE's of AD DS-objecten hebt waarvoor overname van machtigingen is uitgeschakeld (zie AD DS-objecten zoeken waarvoor overname van machtigingen is uitgeschakeld)

    Uitzonderingen op deze algemene parameters zijn de Set-ADSyncRestrictedPermissions cmdlet die wordt gebruikt voor het instellen van de machtigingen voor het AD DS Connector-account zelf en de Set-ADSyncPasswordHashSyncPermissions cmdlet omdat de machtigingen die vereist zijn voor wachtwoord-hashsynchronisatie alleen zijn ingesteld in de hoofdmap van het domein, vandaar dat deze cmdlet de of -SkipAdminSdHolders parameters niet bevat-ObjectDN.

    Uw AD DS-connectoraccount bepalen

    Als Azure AD-Verbinding maken al is geïnstalleerd en u wilt controleren wat het AD DS Connector-account is dat momenteel wordt gebruikt door Azure AD Verbinding maken, kunt u de cmdlet uitvoeren:

    Get-ADSyncADConnectorAccount 
    

    AD DS-objecten zoeken waarvoor overname van machtigingen is uitgeschakeld

    Als u wilt controleren of er een AD DS-object is waarvoor de overname van machtigingen is uitgeschakeld, kunt u het volgende uitvoeren:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' 
    

    Deze cmdlet zoekt standaard alleen naar OE's met uitgeschakelde overname, maar u kunt als volgt andere AD DS-objectklassen opgeven in -ObjectClass parameter of *gebruiken voor alle objectklassen:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass * 
    

    AD DS-machtigingen van een object weergeven

    U kunt de onderstaande cmdlet gebruiken om de lijst met machtigingen weer te geven die momenteel zijn ingesteld voor een Active Directory-object door de DistinguishedName op te geven:

    Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>' 
    

    De machtigingen van een AD DS Connector-account configureren

    Basismachtigingen Read-Only configureren

    Als u basismachtigingen voor alleen-lezen wilt instellen voor het AD DS Connector-account wanneer u geen Azure AD-Verbinding maken-functie gebruikt, voert u het volgende uit:

    Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    of;

    Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan AD DS-connectoraccount Alle eigenschappen lezen Onderliggende apparaatobjecten
    Toestaan AD DS-connectoraccount Alle eigenschappen lezen Onderliggende InetOrgPerson-objecten
    Toestaan AD DS-connectoraccount Alle eigenschappen lezen Onderliggende computerobjecten
    Toestaan AD DS-connectoraccount Alle eigenschappen lezen Onderliggende foreignSecurityPrincipal-objecten
    Toestaan AD DS-connectoraccount Alle eigenschappen lezen Onderliggende groepsobjecten
    Toestaan AD DS-connectoraccount Alle eigenschappen lezen Onderliggende gebruikersobjecten
    Toestaan AD DS-connectoraccount Alle eigenschappen lezen Objecten van afstammelingscontactpersoon
    Toestaan AD DS-connectoraccount Mapwijzigingen repliceren Alleen dit object (domeinhoofdmap)

    MS-DS-Consistency-Guid-machtigingen configureren

    Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u het kenmerk ms-Ds-Consistency-Guid gebruikt als bronanker (ook wel bekend als 'Azure het bronanker voor mij laten beheren'), voert u het volgende uit:

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    of;

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan AD DS Connector-account Eigenschap Lezen/schrijven Onderliggende gebruikersobjecten

    Machtigingen voor wachtwoord-hashsynchronisatie

    Als u machtigingen wilt instellen voor het AD DS Connector-account bij het gebruik van wachtwoord-hashsynchronisatie, voert u het volgende uit:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>] 
    

    of;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>] 
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan AD DS Connector-account Directorywijzigingen repliceren Alleen dit object (domeinhoofdmap)
    Toestaan AD DS Connector-account Alles repliceren van mapwijzigingen Alleen dit object (domeinhoofdmap)

    Machtigingen voor wachtwoord terugschrijven

    Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u Wachtwoord terugschrijven gebruikt, voert u het volgende uit:

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    of;

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan AD DS Connector-account Wachtwoord opnieuw instellen Onderliggende gebruikersobjecten
    Toestaan AD DS Connector-account LockoutTime van eigenschap schrijven Onderliggende gebruikersobjecten
    Toestaan AD DS Connector-account Eigenschap pwdLastSet schrijven Onderliggende gebruikersobjecten

    Machtigingen voor groeps terugschrijven

    Als u machtigingen wilt instellen voor het AD DS Connector-account bij het gebruik van Groeps terugschrijven, voert u het volgende uit:

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    of;

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan AD DS Connector-account Algemene lees-/schrijfbewerkingen Alle kenmerken van objecttypegroep en subobjecten
    Toestaan AD DS Connector-account Onderliggend object maken/verwijderen Alle kenmerken van objecttypegroep en subobjecten
    Toestaan AD DS Connector-account Structuurobjecten verwijderen/verwijderen Alle kenmerken van objecttypegroep en subobjecten

    Machtigingen voor Exchange hybride implementatie

    Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u Exchange hybride implementatie gebruikt, voert u het volgende uit:

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    of;

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan AD DS Connector-account Alle eigenschappen lezen/schrijven Onderliggende gebruikersobjecten
    Toestaan AD DS Connector-account Alle eigenschappen lezen/schrijven Onderliggende InetOrgPerson-objecten
    Toestaan AD DS Connector-account Alle eigenschappen lezen/schrijven Onderliggende groepsobjecten
    Toestaan AD DS Connector-account Alle eigenschappen lezen/schrijven Onderliggende contactobjecten

    Machtigingen voor Exchange Openbare e-mailmappen

    Als u machtigingen wilt instellen voor het AD DS Connector-account wanneer u Exchange functie Openbare e-mailmappen gebruikt, voert u het volgende uit:

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    of;

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan AD DS Connector-account Alle eigenschappen lezen Onderliggende PublicFolder-objecten

    Machtigingen voor het AD DS Connector-account beperken

    Met dit PowerShell-script worden de machtigingen voor het AD Connector-account dat is opgegeven als parameter, aangescherpt. Het aanscherpen van machtigingen omvat de volgende stappen:

    • Overname uitschakelen voor het opgegeven object

    • Verwijder alle ACL's op het specifieke object, behalve ACL's die specifiek zijn voor SELF omdat we de standaardmachtigingen intact willen houden als het gaat om SELF.

      De parameter -ADConnectorAccountDN is het AD-account waarvan de machtigingen moeten worden aangescherpt. Dit is meestal het MSOL_nnnnnnnnnnnn domeinaccount dat is geconfigureerd in de AD DS-connector (zie Uw AD DS-connectoraccount bepalen). De parameter -Credential is nodig om het Administrator-account op te geven met de benodigde bevoegdheden om Active Directory-machtigingen voor het doel-AD-object te beperken. Dit is doorgaans de enterprise- of domeinbeheerder.

    Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>] 
    

    Bijvoorbeeld:

    $credential = Get-Credential 
    Set-ADSyncRestrictedPermissions -ADConnectorAccountDN'CN=ADConnectorAccount,CN=Users,DC=Contoso,DC=com' -Credential $credential  
    

    Met deze cmdlet worden de volgende machtigingen ingesteld:

    Type Naam Access Van toepassing op
    Toestaan SYSTEEM Volledig beheer Dit object
    Toestaan Ondernemingsadministrators Volledig beheer Dit object
    Toestaan Domeinadministrators Volledig beheer Dit object
    Toestaan Beheerders Volledig beheer Dit object
    Toestaan Enterprise-domeincontrollers Lijstinhoud Dit object
    Toestaan Enterprise-domeincontrollers Alle eigenschappen lezen Dit object
    Toestaan Enterprise-domeincontrollers Leesmachtigingen Dit object
    Toestaan Geverifieerde gebruikers Lijstinhoud Dit object
    Toestaan Geverifieerde gebruikers Alle eigenschappen lezen Dit object
    Toestaan Geverifieerde gebruikers Leesmachtigingen Dit object

    Volgende stappen