Azure AD Connect: Accounts en machtigingenAzure AD Connect: Accounts and permissions

Accounts die worden gebruikt voor Azure AD ConnectAccounts used for Azure AD Connect

overzicht van serviceaccounts

Azure AD Connect maakt gebruik van 3-accounts om te synchroniseren van gegevens van on-premises of Windows Server Active Directory naar Azure Active Directory.Azure AD Connect uses 3 accounts in order to synchronize information from on-premises or Windows Server Active Directory to Azure Active Directory. Deze accounts zijn:These accounts are:

  • AD DS-Connector-account: gebruikt voor het lezen/schrijven gegevens naar Windows Server Active DirectoryAD DS Connector account: used to read/write information to Windows Server Active Directory

  • Account van de service ADSync: gebruikt voor het uitvoeren van de synchronisatieservice en toegang tot de SQL-databaseADSync service account: used to run the synchronization service and access the SQL database

  • Azure AD-Connector-account: gebruikt voor het schrijven van gegevens in Azure ADAzure AD Connector account: used to write information to Azure AD

Naast deze drie accounts gebruikt voor het uitvoeren van Azure AD Connect, moet u ook de volgende extra accounts aan Azure AD Connect installeert.In addition to these three accounts used to run Azure AD Connect, you will also need the following additional accounts to install Azure AD Connect. Dit zijn:These are:

  • Lokale Administrator-account: De beheerder die Azure AD Connect wordt geïnstalleerd en die lokale beheerdersmachtigingen heeft op de machine.Local Administrator account: The administrator who is installing Azure AD Connect and who has local Administrator permissions on the machine.

  • AD DS Enterprise-beheerdersaccount: (Optioneel) gebruikt voor het maken van de "AD DS-Connector-account" hierboven.AD DS Enterprise Administrator account: Optionally used to create the “AD DS Connector account” above.

  • Account van Azure AD-hoofdbeheerder: gebruikt voor het maken van de Azure AD-Connector-account en Azure AD configureren.Azure AD Global Administrator account: used to create the Azure AD Connector account and configure Azure AD.

  • SQL-SA-account (optioneel) : gebruikt voor het maken van de ADSync-database bij het gebruik van de volledige versie van SQL Server.SQL SA account (optional): used to create the ADSync database when using the full version of SQL Server. Deze SQL-Server kan lokaal of extern zijn aan de Azure AD Connect-installatie zijn.This SQL Server may be local or remote to the Azure AD Connect installation. Dit account is mogelijk niet hetzelfde account als de Enterprise-beheerder.This account may be the same account as the Enterprise Administrator. Inrichten van de database kan nu worden uitgevoerd buiten-band door de SQL-beheerder en vervolgens worden geïnstalleerd door de Azure AD Connect-beheerder met eigendomsrechten van de database.Provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights. Voor meer informatie over deze Zie Installeer Azure AD Connect met behulp van SQL delegated administrator-machtigingenFor information on this see Install Azure AD Connect using SQL delegated administrator permissions

Azure AD Connect installerenInstalling Azure AD Connect

De installatiewizard van Azure AD Connect biedt twee verschillende paden:The Azure AD Connect installation wizard offers two different paths:

  • In de Express-instellingen, worden in de wizard meer bevoegdheden vereist.In Express Settings, the wizard requires more privileges. Dit is zodat deze van uw configuratie eenvoudig, instellen kunt zonder dat u gebruikers maken of configureren van machtigingen.This is so that it can set up your configuration easily, without requiring you to create users or configure permissions.
  • In de aangepaste instellingen biedt de wizard u meer keuzemogelijkheden en opties.In Custom Settings, the wizard offers you more choices and options. Er zijn echter situaties waarin u nodig hebt om ervoor te zorgen dat u over de juiste machtigingen beschikt.However, there are some situations in which you need to ensure you have the correct permissions yourself.

Snelle installatie van de instellingenExpress settings installation

In de Express-instellingen vraagt de installatiewizard voor het volgende:In Express settings, the installation wizard asks for the following:

  • Enterprise-beheerder van AD DS-referentiesAD DS Enterprise Administrator credentials
  • Azure AD-hoofdbeheerder referentiesAzure AD Global Administrator credentials

AD DS ondernemingsadministratorreferentiesAD DS Enterprise Admin credentials

De AD DS-ondernemingsadministrator-account wordt gebruikt voor het configureren van uw on-premises Active Directory.The AD DS Enterprise Admin account is used to configure your on-premises Active Directory. Deze referenties worden alleen gebruikt tijdens de installatie en niet worden gebruikt nadat de installatie is voltooid.These credentials are only used during the installation and are not used after the installation has completed. De Enterprise-beheerder, niet de domeinbeheerder moet ervoor zorgen dat de machtigingen in Active Directory kunnen worden ingesteld in alle domeinen zijn.The Enterprise Admin, not the Domain Admin should make sure the permissions in Active Directory can be set in all domains.

Als u een van DirSync upgrade, wordt de Ondernemingsadministrators van AD DS-referenties worden gebruikt om het opnieuw instellen van het wachtwoord voor het account wordt gebruikt door DirSync.If you are upgrading from DirSync, the AD DS Enterprise Admins credentials are used to reset the password for the account used by DirSync. Ook moet u Azure AD-hoofdbeheerder referenties.You also need Azure AD Global Administrator credentials.

Azure AD-hoofdbeheerder referentiesAzure AD Global Admin credentials

Deze referenties worden alleen gebruikt tijdens de installatie en niet worden gebruikt nadat de installatie is voltooid.These credentials are only used during the installation and are not used after the installation has completed. Wordt gebruikt om de Azure AD-Connector-account gebruikt voor het synchroniseren van wijzigingen naar Azure AD te maken.It is used to create the Azure AD Connector account used for synchronizing changes to Azure AD. Het account kunt synchronisatie ook als een functie in Azure AD.The account also enables sync as a feature in Azure AD.

AD DS-Connector-account vereist machtigingen voor de express-instellingenAD DS Connector account required permissions for express settings

De AD DS-Connector-account is gemaakt voor het lezen en schrijven naar Windows Server AD en heeft de volgende machtigingen als die zijn gemaakt door de express-instellingen:The AD DS Connector account is created for reading and writing to Windows Server AD and has the following permissions when created by express settings:

MachtigingPermission Gebruikt voorUsed for
  • Directorywijzigingen replicerenReplicate Directory Changes
  • Alle repliceren Directory gewijzigdReplicate Directory Changes All
  • Synchronisatie van wachtwoordhashesPassword hash sync
    Lezen/schrijven alle eigenschappen van gebruikerRead/Write all properties User Import- en Exchange hybridImport and Exchange hybrid
    Lezen/schrijven alle eigenschappen iNetOrgPersonRead/Write all properties iNetOrgPerson Import- en Exchange hybridImport and Exchange hybrid
    Groep van alle eigenschappen voor lezen/schrijvenRead/Write all properties Group Import- en Exchange hybridImport and Exchange hybrid
    Neem contact op met lezen/schrijven alle eigenschappenRead/Write all properties Contact Import- en Exchange hybridImport and Exchange hybrid
    Wachtwoord opnieuw instellenReset password Voorbereiding voor het inschakelen van wachtwoord terugschrijvenPreparation for enabling password writeback

    Snelle installatiewizard-overzichtExpress installation wizard summary

    Snelle installatie

    Hier volgt een samenvatting van de snelle installatie wizardpagina's, de referenties die worden verzameld, en waarvoor ze worden gebruikt.The following is a summary of the express installation wizard pages, the credentials collected, and what they are used for.

    WizardpaginaWizard Page Referenties die worden verzameldCredentials Collected Machtigingen die vereist zijnPermissions Required Gebruikt voorUsed For
    N/AN/A Gebruiker met de installatiewizardUser running the installation wizard Beheerder van de lokale serverAdministrator of the local server
  • De ADSync-service-account dat wordt gebruikt over het uitvoeren van de synchronisatieservice maakt.Creates the ADSync service account that is used as to run the synchronization service.
  • Verbinding maken met Azure ADConnect to Azure AD Azure AD-directory-referentiesAzure AD directory credentials De rol globale beheerder in Azure ADGlobal administrator role in Azure AD
  • Inschakelen van synchronisatie in de Azure AD-directory.Enabling sync in the Azure AD directory.
  • Het maken van het Azure AD-Connector-account dat wordt gebruikt voor continue synchronisatiebewerkingen in Azure AD.Creation of the Azure AD Connector account that is used for on-going sync operations in Azure AD.
  • Verbinding maken met AD DSConnect to AD DS On-premises Active Directory-referentiesOn-premises Active Directory credentials Lid van de groep Ondernemingsadministrators (EA) in Active DirectoryMember of the Enterprise Admins (EA) group in Active Directory
  • Het AD DS-Connector-account wordt gemaakt in Active Directory en machtigingen verleend voor deze.Creates the AD DS Connector account in Active Directory and grants permissions to it. Dit account hebt gemaakt wordt om te lezen en schrijven van directory-informatie tijdens de synchronisatie gebruikt.This created account is used to read and write directory information during synchronization.
  • Aangepaste installatie-instellingenCustom installation settings

    Met de installatie van de aangepaste instellingen, de wizard biedt u meer keuzemogelijkheden en opties.With the custom settings installation, the wizard offers you more choices and options.

    Overzicht van de wizard Aangepaste installatieCustom installation wizard summary

    Hier volgt een samenvatting van de aangepaste installatie wizardpagina's, de referenties die worden verzameld, en waarvoor ze worden gebruikt.The following is a summary of the custom installation wizard pages, the credentials collected, and what they are used for.

    Snelle installatie

    WizardpaginaWizard Page Referenties die worden verzameldCredentials Collected Machtigingen die vereist zijnPermissions Required Gebruikt voorUsed For
    N/AN/A Gebruiker met de installatiewizardUser running the installation wizard
  • Beheerder van de lokale serverAdministrator of the local server
  • Als u een volledige SQL Server gebruikt, moet de gebruiker System Administrator (SA) in SQLIf using a full SQL Server, the user must be System Administrator (SA) in SQL
  • Maakt standaard het lokale account dat wordt gebruikt als het serviceaccount voor synchronisatie-engine.By default, creates the local account that is used as the sync engine service account. Het account wordt alleen gemaakt wanneer de beheerder geen een bepaald account geeft.The account is only created when the admin does not specify a particular account.
    Synchronisatieservices, Service-account-optie installerenInstall synchronization services, Service account option AD of lokale gebruikersaccountreferentiesAD or local user account credentials Gebruiker machtigingen zijn verleend door de installatiewizardUser, permissions are granted by the installation wizard Als de beheerder een account is opgegeven, wordt dit account gebruikt als het serviceaccount voor de synchronisatieservice.If the admin specifies an account, this account is used as the service account for the sync service.
    Verbinding maken met Azure ADConnect to Azure AD Azure AD-directory-referentiesAzure AD directory credentials De rol globale beheerder in Azure ADGlobal administrator role in Azure AD
  • Inschakelen van synchronisatie in de Azure AD-directory.Enabling sync in the Azure AD directory.
  • Het maken van het Azure AD-Connector-account dat wordt gebruikt voor continue synchronisatiebewerkingen in Azure AD.Creation of the Azure AD Connector account that is used for on-going sync operations in Azure AD.
  • Verbinding maken met uw directory’sConnect your directories On-premises Active Directory-referenties voor elk forest dat is verbonden met Azure ADOn-premises Active Directory credentials for each forest that is connected to Azure AD De machtigingen zijn afhankelijk van welke functies u inschakelen en kunt u vinden in maken het AD DS-Connector-accountThe permissions depend on which features you enable and can be found in Create the AD DS Connector account Dit account wordt gebruikt om te lezen en schrijven van directory-informatie tijdens de synchronisatie.This account is used to read and write directory information during synchronization.
    AD FS-ServersAD FS Servers Voor elke server in de lijst verzamelt met de wizard referenties wanneer de aanmeldingsreferenties van de gebruiker die de wizard zijn niet voldoende om verbinding te makenFor each server in the list, the wizard collects credentials when the sign-in credentials of the user running the wizard are insufficient to connect DomeinbeheerderDomain Administrator Installatie en configuratie van de AD FS-serverfunctie.Installation and configuration of the AD FS server role.
    WAP-serversWeb application proxy servers Voor elke server in de lijst verzamelt met de wizard referenties wanneer de aanmeldingsreferenties van de gebruiker die de wizard zijn niet voldoende om verbinding te makenFor each server in the list, the wizard collects credentials when the sign-in credentials of the user running the wizard are insufficient to connect Lokale beheerder op de doel-VMLocal admin on the target machine Installatie en configuratie van WAP-server-rol.Installation and configuration of WAP server role.
    Vertrouwde proxyreferentiesProxy trust credentials Federation-service vertrouwen referenties (de referenties van de proxy wordt gebruikt om in te schrijven voor een vertrouwensrelatie certificaat van de FSFederation service trust credentials (the credentials the proxy uses to enroll for a trust certificate from the FS Domeinaccount dat een lokale beheerder van de AD FS-serverDomain account that is a local administrator of the AD FS server Initiële inschrijving van FS WAP-vertrouwensrelatie certificaat.Initial enrollment of FS-WAP trust certificate.
    Pagina voor AD FS-serviceaccount, "De accountoptie van een domein-gebruiker gebruiken"AD FS Service Account page, "Use a domain user account option" Accountreferenties van de AD-gebruikerAD user account credentials DomeingebruikerDomain user Het account van de Azure AD-gebruiker waarvan de referenties zijn opgegeven, wordt gebruikt als de aanmeldingsaccount van de AD FS-service.The Azure AD user account whose credentials are provided is used as the sign-in account of the AD FS service.

    Het AD DS-Connector-account makenCreate the AD DS Connector account

    Belangrijk

    Een nieuwe PowerShell-Module met de naam ADSyncConfig.psm1 geïntroduceerd met build 1.1.880.0 (uitgebracht in augustus 2018) die bestaat uit een verzameling van cmdlets kunt u de juiste Active Directory-machtigingen voor de Azure AD DS configureren Connector-account.A new PowerShell Module named ADSyncConfig.psm1 was introduced with build 1.1.880.0 (released in August 2018) that includes a collection of cmdlets to help you configure the correct Active Directory permissions for the Azure AD DS Connector account.

    Zie voor meer informatie Azure AD Connect: Machtiging voor AD DS-Connector-Account configurerenFor more information see Azure AD Connect: Configure AD DS Connector Account Permission

    Het account dat u opgeeft op de verbinding maken met uw mappen pagina moet aanwezig zijn in Active Directory voorafgaand aan de installatie.The account you specify on the Connect your directories page must be present in Active Directory prior to installation. Azure AD Connect versie 1.1.524.0 en hoger en later is de optie voor de Azure AD Connect-wizard maken gebruiken om de Connector voor AD DS-account gebruikt voor verbinding met Active Directory.Azure AD Connect version 1.1.524.0 and later has the option to let the Azure AD Connect wizard create the AD DS Connector account used to connect to Active Directory.

    Ook moet de vereiste machtigingen hebben.It must also have the required permissions granted. De installatiewizard controleert niet of dat de machtigingen en eventuele problemen zijn alleen tijdens de synchronisatie te vinden.The installation wizard does not verify the permissions and any issues are only found during synchronization.

    Welke machtigingen die u nodig hebt, is afhankelijk van de optionele functies inschakelen.Which permissions you require depends on the optional features you enable. Als u meerdere domeinen hebt, moeten de machtigingen worden verleend voor alle domeinen in het forest.If you have multiple domains, the permissions must be granted for all domains in the forest. Als u niet inschakelt dat een van deze functies, de standaard domeingebruiker machtigingen zijn voldoende.If you do not enable any of these features, the default Domain User permissions are sufficient.

    FunctieFeature MachtigingenPermissions
    MS-DS-ConsistencyGuid functiems-DS-ConsistencyGuid feature Schrijfmachtigingen heeft voor het kenmerk ms-DS-ConsistencyGuid is beschreven in ontwerpconcepten - ms-DS-ConsistencyGuid gebruiken als sourceAnchor.Write permissions to the ms-DS-ConsistencyGuid attribute documented in Design Concepts - Using ms-DS-ConsistencyGuid as sourceAnchor.
    Synchronisatie van wachtwoordhashesPassword hash sync
  • Directorywijzigingen replicerenReplicate Directory Changes
  • Alle repliceren Directory gewijzigdReplicate Directory Changes All
  • Hybride implementatie voor ExchangeExchange hybrid deployment Schrijfmachtigingen heeft voor de kenmerken beschreven in Exchange hybrid terugschrijven voor gebruikers, groepen en contactpersonen.Write permissions to the attributes documented in Exchange hybrid writeback for users, groups, and contacts.
    Openbare map voor Exchange-e-MailExchange Mail Public Folder Leesmachtigingen voor de kenmerken beschreven in Exchange Mail openbare map voor openbare mappen.Read permissions to the attributes documented in Exchange Mail Public Folder for public folders.
    Wachtwoord terugschrijvenPassword writeback Schrijfmachtigingen heeft voor de kenmerken beschreven in aan de slag met wachtwoordbeheer voor gebruikers.Write permissions to the attributes documented in Getting started with password management for users.
    Apparaat terugschrijvenDevice writeback Machtigingen met een PowerShell-script, zoals beschreven in Write-back van apparaat.Permissions granted with a PowerShell script as described in device writeback.
    Groep terugschrijvenGroup writeback Hiermee kunt u Write-back van Office 365-groepen naar een forest met Exchange geïnstalleerd.Allows you to writeback Office 365 Groups to a forest with Exchange installed. Zie voor meer informatie Write-back van groep.For more information see Group Writeback.

    UpgradenUpgrade

    Wanneer u een upgrade van één versie van Azure AD Connect naar een nieuwe versie uitvoeren, moet u de volgende machtigingen:When you upgrade from one version of Azure AD Connect to a new release, you need the following permissions:

    Belangrijk

    Beginnen met bouwen 1.1.484, Azure AD Connect een bug regressie waarvoor sysadmin-machtigingen voor het bijwerken van de SQL-database ingevoerd.Starting with build 1.1.484, Azure AD Connect introduced a regression bug which requires sysadmin permissions to upgrade the SQL database. Deze fout is verholpen in build 1.1.647.This bug is corrected in build 1.1.647. Als u een naar deze versie upgrade, moet u sysadmin-bevoegdheden.If you are upgrading to this build, you will need sysadmin permissions. Dbo-machtigingen zijn niet voldoende.Dbo permissions are not sufficient. Als u probeert te Azure AD Connect upgraden zonder sysadmin-bevoegdheden, mislukt de upgrade en Azure AD Connect wordt niet meer correct werkt daarna.If you attempt to upgrade Azure AD Connect without having sysadmin permissions, the upgrade will fail and Azure AD Connect will no longer function correctly afterwards. Microsoft is hiervan op de hoogte en werkt om dit te corrigeren.Microsoft is aware of this and is working to correct this.

    PrincipalPrincipal Machtigingen die vereist zijnPermissions required Gebruikt voorUsed for
    Gebruiker met de installatiewizardUser running the installation wizard Beheerder van de lokale serverAdministrator of the local server Binaire bestanden worden bijgewerkt.Update binaries.
    Gebruiker met de installatiewizardUser running the installation wizard Lid van de ADSyncAdminsMember of ADSyncAdmins Breng wijzigingen in synchronisatieregels en andere configuratie.Make changes to Sync Rules and other configuration.
    Gebruiker met de installatiewizardUser running the installation wizard Als u een volledige SQL server gebruiken: DBO (of vergelijkbaar) van de synchronisatie-engine-databaseIf you use a full SQL server: DBO (or similar) of the sync engine database Controleer op wijzigingen in de database, zoals het bijwerken van tabellen met nieuwe kolommen.Make database level changes, such as updating tables with new columns.

    Meer informatie over de gemaakte accountsMore about the created accounts

    AD DS-Connector-accountAD DS Connector account

    Als u express-instellingen, wordt klikt u vervolgens een account gemaakt in Active Directory die wordt gebruikt voor synchronisatie.If you use express settings, then an account is created in Active Directory that is used for synchronization. Het account bevindt zich in het foresthoofddomein in de container gebruikers en heeft de naam ervan voorafgegaan door MSOL_ .The created account is located in the forest root domain in the Users container and has its name prefixed with MSOL_. Het account is gemaakt met een lange complex wachtwoord in dat niet verloopt.The account is created with a long complex password that does not expire. Als u een wachtwoordbeleid in uw domein hebt, zorg ervoor dat lange en complexe wachtwoorden is toegestaan voor dit account.If you have a password policy in your domain, make sure long and complex passwords would be allowed for this account.

    AD-account

    Als u aangepaste instellingen, klikt bent u verantwoordelijk voor het account te maken voordat u begint met de installatie.If you use custom settings, then you are responsible for creating the account before you start the installation. Zie de AD DS-Connector-account maken.See Create the AD DS Connector account.

    ADSync-serviceaccountADSync service account

    De synchronisatieservice kan uitvoeren onder verschillende accounts.The sync service can run under different accounts. Het kan worden uitgevoerd onder een Virtual Service Account (leverancierspecifiek Kenmerk), een groep beheerd serviceaccount (gMSA/sMSA), of een normaal gebruikersaccount.It can run under a Virtual Service Account (VSA), a Group Managed Service Account (gMSA/sMSA), or a regular user account. De ondersteunde opties zijn gewijzigd met de 2017 April versie van Connect wanneer u een nieuwe installatie uitvoeren.The supported options were changed with the 2017 April release of Connect when you do a fresh installation. Als u een upgrade vanaf een eerdere versie van Azure AD Connect uitvoert, zijn deze extra opties niet beschikbaar.If you upgrade from an earlier release of Azure AD Connect, these additional options are not available.

    Type accountType of account Installatie-optieInstallation option DescriptionDescription
    Virtual serviceaccountVirtual Service Account Express en aangepast, 2017 April en hogerExpress and custom, 2017 April and later Dit is de optie gebruikt voor alle installaties van snelle, met uitzondering van installaties op een domeincontroller.This is the option used for all express installations, except for installations on a Domain Controller. Voor aangepaste, is er op de standaardoptie, tenzij een andere optie wordt gebruikt.For custom, it is the default option unless another option is used.
    Groep beheerd serviceaccountGroup Managed Service Account Aangepaste, 2017 April en hogerCustom, 2017 April and later Als u een externe SQL server gebruikt, klikt u vervolgens het beste aan een groep beheerd serviceaccount gebruiken.If you use a remote SQL server, then we recommend to use a group managed service account.
    GebruikersaccountUser account Express en aangepast, 2017 April en hogerExpress and custom, 2017 April and later Een gebruikersaccount voorafgegaan door AAD_ wordt alleen gemaakt tijdens de installatie, indien geïnstalleerd op Windows Server 2008 en wanneer geïnstalleerd op een domeincontroller.A user account prefixed with AAD_ is only created during installation when installed on Windows Server 2008 and when installed on a Domain Controller.
    GebruikersaccountUser account Express en aangepast, 2017 maart en oudere versiesExpress and custom, 2017 March and earlier Een lokaal account voorafgegaan door AAD_ is gemaakt tijdens de installatie.A local account prefixed with AAD_ is created during installation. Wanneer u aangepaste installatie gebruikt, kan een ander account kan worden opgegeven.When using custom installation, another account can be specified.

    Als u verbinding maken met een build van 2017 maart of eerder, klikt u vervolgens u moet niet het wachtwoord opnieuw op het serviceaccount instellen sinds Windows de versleutelingssleutels voor opmaaktalen wordt om beveiligingsredenen vernietigt.If you use Connect with a build from 2017 March or earlier, then you should not reset the password on the service account since Windows destroys the encryption keys for security reasons. U kunt het account niet wijzigen naar een ander account zonder Azure AD Connect opnieuw te installeren.You cannot change the account to any other account without reinstalling Azure AD Connect. Als u naar een build 2017 April upgraden of later, het wordt wijzigen ondersteund als u wilt wijzigen van het wachtwoord voor het serviceaccount, maar u niet het account dat wordt gebruikt.If you upgrade to a build from 2017 April or later, then it is supported to change the password on the service account but you cannot change the account used.

    Belangrijk

    U kunt alleen het serviceaccount instellen op de eerste installatie.You can only set the service account on first installation. Het serviceaccount te wijzigen nadat de installatie is voltooid wordt niet ondersteund.It is not supported to change the service account after the installation has completed.

    Dit is een tabel van de standaard, aanbevolen en ondersteunde opties voor het serviceaccount voor synchronisatie.This is a table of the default, recommended, and supported options for the sync service account.

    Legenda:Legend:

    • Vet geeft aan dat de standaardoptie en in de meeste gevallen de aanbevolen optie.Bold indicates the default option and in most cases the recommended option.
    • Cursief geeft aan dat de aanbevolen optie wanneer het is niet standaard ingeschakeld.Italic indicates the recommended option when it is not the default option.
    • 2008 - optie standaard geïnstalleerd op Windows Server 20082008 - Default option when installed on Windows Server 2008
    • Niet-vet: ondersteunde optieNon-bold - Supported option
    • Lokaal account - lokale gebruikersaccount op de serverLocal account - Local user account on the server
    • Domeinaccount - domeingebruikersaccountDomain account - Domain user account
    • sMSA - zelfstandig beheerd serviceaccountsMSA - standalone Managed Service account
    • gMSA - groep beheerd serviceaccountgMSA - group Managed Service account
    LocalDBLocalDB
    ExpressExpress
    LocalDB/LocalSQLLocalDB/LocalSQL
    Aangepast telefoonnummerCustom
    Externe SQLRemote SQL
    Aangepast telefoonnummerCustom
    zelfstandige/werkgroep-machinestandalone/workgroup machine Niet ondersteundNot supported VSAVSA
    Lokaal account (2008)Local account (2008)
    Lokaal accountLocal account
    Niet ondersteundNot supported
    domein machinedomain-joined machine VSAVSA
    Lokaal account (2008)Local account (2008)
    VSAVSA
    Lokaal account (2008)Local account (2008)
    Lokaal accountLocal account
    DomeinaccountDomain account
    sMSA,gMSAsMSA,gMSA
    gMSAgMSA
    DomeinaccountDomain account
    DomeincontrollerDomain Controller DomeinaccountDomain account gMSAgMSA
    DomeinaccountDomain account
    sMSAsMSA
    gMSAgMSA
    DomeinaccountDomain account

    Virtuele-serviceaccountVirtual service account

    Een virtueel serviceaccount is een speciaal type account dat geen een wachtwoord en wordt beheerd door Windows.A virtual service account is a special type of account that does not have a password and is managed by Windows.

    VSA

    De leverancierspecifiek Kenmerk is bedoeld om te worden gebruikt met scenario's waarbij de synchronisatie-engine en SQL zijn op dezelfde server.The VSA is intended to be used with scenarios where the sync engine and SQL are on the same server. Als u externe SQL gebruikt, klikt u vervolgens het beste in plaats daarvan een op groep beheerd serviceaccount gebruiken.If you use remote SQL, then we recommend to use a Group Managed Service Account instead.

    Deze functie moet Windows Server 2008 R2 of hoger.This feature requires Windows Server 2008 R2 or later. Als u Azure AD Connect op Windows Server 2008 installeren, wordt de installatie van de terugvalt op het met behulp van een gebruikersaccount in plaats daarvan.If you install Azure AD Connect on Windows Server 2008, then the installation falls back to using a user account instead.

    Groep beheerd serviceaccountGroup managed service account

    Als u een externe SQL server gebruikt, wordt aangeraden voor het gebruik van een groep beheerd serviceaccount.If you use a remote SQL server, then we recommend to using a group managed service account. Zie voor meer informatie over het voorbereiden van uw Active Directory voor een groep beheerd serviceaccount Group Managed Service Accounts Overview.For more information on how to prepare your Active Directory for Group Managed Service account, see Group Managed Service Accounts Overview.

    Deze optie wilt gebruiken, op de vereiste onderdelen installeren weergeeft, schakelt een bestaand serviceaccount gebruiken, en selecteer beheerd serviceaccount.To use this option, on the Install required components page, select Use an existing service account, and select Managed Service Account.
    VSAVSA
    Deze functie wordt ook ondersteund voor het gebruik van een zelfstandig beheerd serviceaccount.It is also supported to use a standalone managed service account. Maar deze kunnen alleen worden gebruikt op de lokale computer en er is geen voordeel om ze te gebruiken via de standaard virtuele-serviceaccount.However, these can only be used on the local machine and there is no benefit to use them over the default virtual service account.

    Deze functie moet WindowsServer 2012 of hoger.This feature requires Windows Server 2012 or later. Als u wilt gebruiken van een ouder besturingssysteem en gebruiken van externe SQL, dan moet u een gebruikersaccount.If you need to use an older operating system and use remote SQL, then you must use a user account.

    GebruikersaccountUser account

    Een lokale service-account wordt gemaakt door de installatiewizard (tenzij u het account moet worden gebruikt in de aangepaste instellingen opgeven).A local service account is created by the installation wizard (unless you specify the account to use in custom settings). Het account wordt voorafgegaan AAD_ en gebruikt voor de werkelijke sync-service uit te voeren als.The account is prefixed AAD_ and used for the actual sync service to run as. Als u Azure AD Connect op een domeincontroller installeert, moet het account wordt gemaakt in het domein.If you install Azure AD Connect on a Domain Controller, the account is created in the domain. De AAD_ -serviceaccount moet zich bevinden in het domein als:The AAD_ service account must be located in the domain if:

    • u een externe server met SQL server gebruikenyou use a remote server running SQL server
    • gebruik van een proxy die verificatie vereistyou use a proxy that requires authentication

    Serviceaccount voor synchronisatie

    Het account is gemaakt met een lange complex wachtwoord in dat niet verloopt.The account is created with a long complex password that does not expire.

    Dit account wordt gebruikt voor het opslaan van de wachtwoorden voor de andere accounts op een veilige manier.This account is used to store the passwords for the other accounts in a secure way. Deze andere accounts wachtwoorden worden versleuteld opgeslagen in de database.These other accounts passwords are stored encrypted in the database. De persoonlijke sleutels voor de versleutelingssleutels zijn beveiligd met de cryptografische services geheime sleutel versleuteling met behulp van Windows Data Protection API (DPAPI).The private keys for the encryption keys are protected with the cryptographic services secret-key encryption using Windows Data Protection API (DPAPI).

    Als u een volledige SQL Server gebruikt, is de serviceaccount de DBO van de database is gemaakt voor de synchronisatie-engine.If you use a full SQL Server, then the service account is the DBO of the created database for the sync engine. De service werkt niet zoals bedoeld met andere machtigingen.The service will not function as intended with any other permissions. Een SQL-aanmelding wordt ook gemaakt.A SQL login is also created.

    Het account ook krijgt de machtigingen voor bestanden, registersleutels en andere objecten met betrekking tot de synchronisatie-Engine.The account is also granted permissions to files, registry keys, and other objects related to the Sync Engine.

    Azure AD-Connector-accountAzure AD Connector account

    Een account in Azure AD is bedoeld voor gebruik van de sync-service.An account in Azure AD is created for the sync service's use. Dit account kan worden geïdentificeerd door de naam weergegeven.This account can be identified by its display name.

    AD-account

    De naam van het account wordt gebruikt op de-server kan worden geïdentificeerd in het tweede gedeelte van de naam van de gebruiker.The name of the server the account is used on can be identified in the second part of the user name. In de gaten is de naam van de server DC1.In the picture, the server name is DC1. Als u de staging-servers hebt, heeft elke server een eigen account.If you have staging servers, each server has its own account.

    Het account is gemaakt met een lange complex wachtwoord in dat niet verloopt.The account is created with a long complex password that does not expire. Een speciale rol zijn toegekend Directory-Accounts voor synchronisatie waarvoor alleen machtigingen voor het uitvoeren van taken voor directory-synchronisatie.It is granted a special role Directory Synchronization Accounts that has only permissions to perform directory synchronization tasks. Deze speciale ingebouwde rol kan niet worden toegekend buiten de Azure AD Connect-wizard.This special built-in role cannot be granted outside of the Azure AD Connect wizard. De Azure-portal ziet u dit account met de rol gebruiker.The Azure portal shows this account with the role User.

    Er is een limiet van 20 sync-service-accounts in Azure AD.There is a limit of 20 sync service accounts in Azure AD. Als u de lijst met bestaande Azure AD-service-accounts in uw Azure AD, moet u de volgende Azure AD PowerShell-cmdlet uitvoeren: Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMemberTo get the list of existing Azure AD service accounts in your Azure AD, run the following Azure AD PowerShell cmdlet: Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMember

    Verwijderen van niet-gebruikte Azure AD-serviceaccounts, voer de volgende Azure AD PowerShell-cmdlet uit: Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove>To remove unused Azure AD service accounts, run the following Azure AD PowerShell cmdlet: Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove>

    Notitie

    Voordat u de bovenstaande PowerShell-opdrachten kunt u moet voor het installeren van de Azure Active Directory PowerShell voor Graph module en maak verbinding met uw exemplaar van het gebruik van Azure AD Connect-AzureADBefore you can use the above PowerShell commands you will need to install the Azure Active Directory PowerShell for Graph module and connect to your instance of Azure AD using Connect-AzureAD

    Zie voor meer informatie over het beheren of opnieuw instellen van het wachtwoord voor de Azure AD-Connector-account de Azure AD Connect-account beherenFor additional information on how to manage or reset the password for the Azure AD Connector account see Manage the Azure AD Connect account

    Als u hebt niet de documentatie lezen op uw on-premises identiteiten integreren met Azure Active Directory, de volgende tabel vindt u koppelingen naar verwante onderwerpen.If you did not read the documentation on Integrating your on-premises identities with Azure Active Directory, the following table provides links to related topics.

    OnderwerpTopic KoppelingLink
    Azure AD Connect downloadenDownload Azure AD Connect Azure AD Connect downloadenDownload Azure AD Connect
    Installeren met behulp van snelle instellingenInstall using Express settings Snelle installatie van Azure AD ConnectExpress installation of Azure AD Connect
    Installeren met behulp van aangepaste instellingenInstall using Customized settings Aangepaste installatie van Azure AD ConnectCustom installation of Azure AD Connect
    Upgraden van DirSyncUpgrade from DirSync Upgraden van Azure AD-synchronisatiehulpprogramma (DirSync)Upgrade from Azure AD sync tool (DirSync)
    Na installatieAfter installation Controleer of de installatie en licenties toewijzenVerify the installation and assign licenses

    Volgende stappenNext steps

    Lees meer over het integreren van uw on-premises identiteiten met Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.