Azure AD Connect выполняет следующие функции: Настройка разрешений учетной записи соединителя AD DSAzure AD Connect: Configure AD DS Connector Account Permissions

Модуль PowerShell ADSyncConfig.psm1 был представлен в сборке 1.1.880.0 (выпущенной в августе 2018 года). Эта сборка включает в себя коллекцию командлетов, которые помогут вам настроить правильные разрешения Active Directory для развертывания соединителя Azure AD.The PowerShell Module named ADSyncConfig.psm1 was introduced with build 1.1.880.0 (released in August 2018) that includes a collection of cmdlets to help you configure the correct Active Directory permissions for your Azure AD Connect deployment.

ОбзорOverview

Чтобы настроить разрешения Active Directory для учетной записи соединителя AD DS, можно использовать следующие командлеты PowerShell. Их можно использовать для каждой функции, какую вы включаете в Azure AD Connect.The following PowerShell cmdlets can be used to setup Active Directory permissions of the AD DS Connector account, for each feature that you select to enable in Azure AD Connect. Чтобы избежать проблем, следует заранее подготовлять разрешения Active Directory каждый раз, когда вы хотите установить Azure AD Connect, используя личный домен для подключения к вашему лесу.To prevent any issues, you should prepare Active Directory permissions in advance whenever you want to install Azure AD Connect using a custom domain account to connect to your forest. Модуль ADSyncConfig также можно использовать для настройки разрешений после развертывания Azure AD Connect.This ADSyncConfig module can also be used to configure permissions after Azure AD Connect is deployed.

Общие сведения об учетной записи ad ds

Для экспресс установки Azure AD Connect в Active Directory автоматически создается учетная запись (с именем MSOL_nnnnnnnnnn) с необходимыми разрешениями, поэтому необходимости использовать модуль ADSyncConfig в этом случае нет. Кроме тех случаев, когда вы заблокировали наследование разрешений в подразделениях или в определенных объектах Active Directory, которые вы хотите синхронизировать с Azure AD.For Azure AD Connect Express installation, an automatically generated account (MSOL_nnnnnnnnnn) is created in Active Directory with all the necessary permissions, so there’s no need to use this ADSyncConfig module unless you have blocked permissions inheritance on organizational units or on specific Active Directory objects that you want to synchronize to Azure AD.

Сводка разрешенийPermissions summary

Следующая таблица предоставляет сводку разрешений, необходимых для объектов AD:The following table provides a summary of the permissions required on AD objects:

КомпонентFeature РазрешенияPermissions
функция ms-DS-ConsistencyGuidms-DS-ConsistencyGuid feature Разрешения на запись для атрибута ms-DS-ConsistencyGuid см. в статье Azure AD Connect: принципы проектирования.Write permissions to the ms-DS-ConsistencyGuid attribute documented in Design Concepts - Using ms-DS-ConsistencyGuid as sourceAnchor.
Синхронизация хэша паролейPassword hash sync
  • Репликация изменений каталогаReplicate Directory Changes
  • Репликация всех изменений каталогаReplicate Directory Changes All
  • Гибридное развертывание ExchangeExchange hybrid deployment Запишите разрешения в атрибуты, описанные в статье Гибридная обратная запись Exchange для пользователей, групп и контактов.Write permissions to the attributes documented in Exchange hybrid writeback for users, groups, and contacts.
    Общедоступная папка почты ExchangeExchange Mail Public Folder Разрешения на чтение для атрибутов, описанных в статье Службы синхронизации Azure AD Connect: атрибуты, синхронизируемые с Azure Active Directory, для общедоступных папок.Read permissions to the attributes documented in Exchange Mail Public Folder for public folders.
    Компонент обратной записи паролейPassword writeback Запишите разрешения в атрибуты, описанные в статье Приступая к работе с компонентами управления паролями для пользователей.Write permissions to the attributes documented in Getting started with password management for users.
    Обратная запись устройствDevice writeback Запишите разрешение на объекты и контейнеры устройства, описаны в обратной записи устройств.Write permissions to device objects and containers documented in device writeback.
    Обратная запись группGroup writeback Чтение, создание, обновление и удаление объектов групп для синхронизированных групп Office 365.Read, Create, Update, and Delete group objects for synchronized Office 365 groups. Дополнительные сведения см. в разделе Обратная запись групп.For more information see Group Writeback.

    Использование модуля ADSyncConfig PowerShellUsing the ADSyncConfig PowerShell Module

    Модулю ADSyncConfig необходимы средства удаленного администрирования сервера (RSAT) для AD DS, поскольку он зависит от модуля PowerShell для AD DS и средств.The ADSyncConfig module requires the Remote Server Administration Tools (RSAT) for AD DS since it depends on the AD DS PowerShell module and tools. Чтобы установить средства удаленного администрирования сервера для AD DS, откройте окно Windows PowerShell в режиме "Запуск от имени администратора" и выполните:To install RSAT for AD DS, open a Windows PowerShell window with ‘Run As Administrator’ and execute:

    Install-WindowsFeature RSAT-AD-Tools 
    

    Настройка

    Примечание

    Вы также можете скопировать файл C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\ADSyncConfig.psm1 в контроллер домена, в котором уже есть средства удаленного администрирования сервера для AD DS, и использовать модуль PowerShell оттуда.You can also copy the file C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\ADSyncConfig.psm1 to a Domain Controller which already has RSAT for AD DS installed and use this PowerShell module from there.

    Чтобы приступить к использованию ADSyncConfig, необходимо загрузить модуль в окно Windows PowerShell:To start using the ADSyncConfig you need to load the module in a Windows PowerShell window:

    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
    

    Для проверки всех командлетов в этом модуле введите:To check all the cmdlets included in this module you can type:

    Get-Command -Module AdSyncConfig  
    

    Проверка

    Каждый командлет имеет те же параметры для ввода учетной записи соединителя AD DS и коммутатора AdminSDHolder.Each cmdlet has the same parameters to input the AD DS Connector Account and an AdminSDHolder switch. Чтобы указать учетную запись соединителя AD DS, можно предоставить имя учетной записи и домен или только различающееся имя (DN) учетной записи.To specify your AD DS Connector Account, you can provide the account name and domain, or just the account Distinguished Name (DN),

    Например:e.g.:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
    

    Или;Or;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
    

    Не забудьте заменить <ADAccountName>, <ADDomainName> и <ADAccountDN> с соответствующими значениями для вашей среды.Make sure to replace <ADAccountName>, <ADDomainName> and <ADAccountDN> with the proper values for your environment.

    Если вы не хотите изменить разрешения на контейнере AdminSDHolder, используйте параметр -SkipAdminSdHolders.In case you don’t want to modify permissions on the AdminSDHolder container, use the switch -SkipAdminSdHolders.

    По умолчанию все командлеты заданных разрешений будут пытаться установить разрешения AD DS в корне каждого домена в лесу. Это значит, что пользователю, выполняющему сеанс PowerShell, требуются права администратора домена для каждого домена в лесу.By default, all the set permissions cmdlets will try to set AD DS permissions on the root of each Domain in the Forest, meaning that the user running the PowerShell session requires Domain Administrator rights on each domain in the Forest. Из-за этого требования рекомендуется использовать администратора предприятия из корня леса.Because of this requirement, it is recommended to use an Enterprise Administrator from the Forest root. Если в развертывании Azure AD Connect есть несколько соединителей AD DS, то потребуется выполнение одного и того же командлета в каждом лесу, имеющему соединитель AD DS.If your Azure AD Connect deployment has multiple AD DS Connectors, it will be required to run the same cmdlet on each forest that has an AD DS Connector.

    Можно также задать разрешения на определенном объекте подразделения или AD DS с помощью параметра -ADobjectDN, которому следует различающееся имя целевого объекта, где требуется задать разрешения.You can also set permissions on a specific OU or AD DS object by using the parameter -ADobjectDN followed by the DN of the target object where you want to set permissions. При использовании целевого объекта ADobjectDN, командлет установит права доступа только для этого объекта, а не для корневого домена или контейнера AdminSDHolder.When using a target ADobjectDN, the cmdlet will set permissions on this object only and not on the domain root or AdminSDHolder container. Этот параметр может быть полезным, если у вас есть некоторые подразделения или объекты AD DS, в которых отключено наследование разрешений (см. в разделе "Размещение объектов AD DS с отключенным наследованием разрешений")This parameter can be useful when you have certain OUs or AD DS objects that have permission inheritance disabled (see Locate AD DS objects with permission inheritance disabled)

    Исключением к этим общим параметрам являются командлет Set-ADSyncRestrictedPermissions, который позволяет задать разрешения на самой учетной записи соединителя AD DS, и командлет Set-ADSyncPasswordHashSyncPermissions, поскольку разрешения, необходимые для синхронизации хэша паролей можно установить только в корневом домене, следовательно этот командлет не поддерживает параметр -ObjectDN или -SkipAdminSdHolders.Exceptions to these common parameters are the Set-ADSyncRestrictedPermissions cmdlet which is used to set the permissions on the AD DS Connector Account itself, and the Set-ADSyncPasswordHashSyncPermissions cmdlet since the permissions required for Password Hash Sync are only set at the domain root, hence this cmdlet does not include the -ObjectDN or -SkipAdminSdHolders parameters.

    Определите свою учетную запись соединителя AD DSDetermine your AD DS Connector Account

    Если Azure AD Connect уже установлено и вы хотите проверить, какая учетная запись соединителя AD DS используется на данное время, можете выполнить командлет:In case Azure AD Connect is already installed and you want to check what is the AD DS Connector Account currently in use by Azure AD Connect, you can execute the cmdlet:

    Get-ADSyncADConnectorAccount 
    

    Размещение объектов AD DS с отключенным наследованием разрешенийLocate AD DS objects with permission inheritance disabled

    Если вы хотите проверить наличие какого-либо объекта AD DS с отключенным наследованием разрешений, можете выполнить:In case you want to check if there is any AD DS object with permission inheritance disabled, you can run:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' 
    

    По умолчанию этот командлет будет искать только подразделения с отключенным наследованием, но вы можете указать в параметре -ObjectClass другие классы объектов AD DS или использовать "*" для всех классов объектов следующим образом:By default, this cmdlet will only look for OUs with disabled inheritance, but you can specify other AD DS object classes in -ObjectClass parameter or use ‘*’ for all object classes, as follows:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass * 
    

    Просмотр разрешений AD DS объектаView AD DS permissions of an object

    Чтобы просмотреть список разрешений, сейчас задано на объекта Active Directory, предоставляя его DistinguishedName, можно использовать следующий командлет:You can use the cmdlet below to view the list of permissions currently set on an Active Directory object by providing its DistinguishedName:

    Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>' 
    

    Настройка разрешений учетной записи соединителя AD DSConfigure AD DS Connector Account Permissions

    Настройка основных разрешения только для чтенияConfigure Basic Read-Only Permissions

    Чтобы задать учетной записи соединителя AD DS основные разрешения только для чтения, не используя компонентов Azure AD Connect, выполните:To set basic read-only permissions for the AD DS Connector account when not using any Azure AD Connect feature, run:

    Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    или;or;

    Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Этот командлет задаст следующие разрешения:This cmdlet will set the following permissions:

    typeType NameName ДоступAccess Применяется кApplies To
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Чтение всех свойствRead all properties Дочерние объекты устройствDescendant device objects
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Чтение всех свойствRead all properties Дочерние объекты InetOrgPersonDescendant InetOrgPerson objects
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Чтение всех свойствRead all properties Дочерние объекты компьютераDescendant Computer objects
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Чтение всех свойствRead all properties Дочерние объекты foreignSecurityPrincipalDescendant foreignSecurityPrincipal objects
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Чтение всех свойствRead all properties Дочерние объекты группыDescendant Group objects
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Чтение всех свойствRead all properties Дочерние объекты пользователяDescendant User objects
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Чтение всех свойствRead all properties Дочерние объекты контактаDescendant Contact objects

    Настройка разрешений MS-DS-Consistency-GuidConfigure MS-DS-Consistency-Guid Permissions

    Чтобы установить разрешения для учетной записи соединителя AD DS при использовании атрибута ms-Ds-Consistency-Guid в качестве исходного якоря (иначе говоря параметр"Позволить Azure управлять моим исходным якорем"), запустите:To set permissions for the AD DS Connector account when using the ms-Ds-Consistency-Guid attribute as the source anchor (aka “Let Azure manage the source anchor for me” option) , run:

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    или;or;

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Этот командлет задаст следующие разрешения:This cmdlet will set the following permissions:

    typeType NameName ДоступAccess Применяется кApplies To
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Свойство чтения/записиRead/Write property Дочерние объекты пользователяDescendant User objects

    Разрешения для синхронизации хэшей пароляPermissions for Password Hash Synchronization

    Чтобы задать разрешения для учетной записи соединителя AD DS при использовании синхронизации хэша паролей, запустите:To set permissions for the AD DS Connector account when using Password Hash Synchronization, run:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>] 
    

    или;or;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>] 
    

    Этот командлет задаст следующие разрешения:This cmdlet will set the following permissions:

    typeType NameName ДоступAccess Применяется кApplies To
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Репликация изменений каталогаReplicating Directory Changes Только в этом объекте (корневой домен)This object only (Domain root)
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Репликация всех изменений каталогаReplicating Directory Changes All Только в этом объекте (корневой домен)This object only (Domain root)

    Разрешения для компонента обратной записи паролейPermissions for Password Writeback

    Чтобы задать разрешения для учетной записи соединителя AD DS при использовании компонента обратной записи паролей, запустите:To set permissions for the AD DS Connector account when using Password Writeback, run:

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    или;or;

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Этот командлет задаст следующие разрешения:This cmdlet will set the following permissions:

    typeType NameName ДоступAccess Применяется кApplies To
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Сброс пароляReset Password Дочерние объекты пользователяDescendant User objects
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Запись свойства lockoutTimeWrite property lockoutTime Дочерние объекты пользователяDescendant User objects
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Запись свойства pwdLastSetWrite property pwdLastSet Дочерние объекты пользователяDescendant User objects

    Разрешения для обратной записи группPermissions for Group Writeback

    Чтобы задать разрешения для учетной записи соединителя AD DS при использовании записи групп, запустите:To set permissions for the AD DS Connector account when using Group Writeback, run:

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    или;or;

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
    

    Этот командлет задаст следующие разрешения:This cmdlet will set the following permissions:

    typeType NameName ДоступAccess Применяется кApplies To
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Универсальное чтение/записьGeneric Read/Write Все атрибуты группы типов объектов и дочерних объектовAll attributes of object type group and subobjects
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Создать/удалить дочерний объектCreate/Delete child object Все атрибуты группы типов объектов и дочерних объектовAll attributes of object type group and subobjects
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Удалить объекты дереваDelete/Delete tree objects Все атрибуты группы типов объектов и дочерних объектовAll attributes of object type group and subobjects

    Разрешения для гибридного развертывания ExchangePermissions for Exchange Hybrid Deployment

    Чтобы задать разрешения для учетной записи соединителя AD DS при использовании гибридного развертывания Exchange, запустите:To set permissions for the AD DS Connector account when using Exchange Hybrid deployment, run:

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    или;or;

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Этот командлет задаст следующие разрешения:This cmdlet will set the following permissions:

    typeType ИМЯName ДоступAccess Применяется кApplies To
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Чтение/запись всех свойствRead/Write all properties Дочерние объекты пользователяDescendant User objects
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Чтение/запись всех свойствRead/Write all properties Дочерние объекты InetOrgPersonDescendant InetOrgPerson objects
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Чтение/запись всех свойствRead/Write all properties Дочерние объекты группыDescendant Group objects
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Чтение/запись всех свойствRead/Write all properties Дочерние объекты контактаDescendant Contact objects

    Разрешения для общедоступных папок почты Exchange (предварительная версия)Permissions for Exchange Mail Public Folders (Preview)

    Чтобы задать разрешения для учетной записи соединителя AD DS при использовании общедоступных папок почты Exchange, запустите:To set permissions for the AD DS Connector account when using Exchange Mail Public Folders feature, run:

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    или;or;

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    Этот командлет задаст следующие разрешения:This cmdlet will set the following permissions:

    typeType NameName ДоступAccess Применяется кApplies To
    AllowAllow Учетная запись соединителя AD DSAD DS Connector Account Чтение всех свойствRead all properties Дочерние объекты PublicFolderDescendant PublicFolder objects

    Ограничение разрешений учетной записи соединителя AD DSRestrict Permissions on the AD DS Connector Account

    Этот сценарий PowerShell будет сужать разрешения для учетной записи соединителя AD, если он предоставлен в качестве параметра.This PowerShell script will tighten permissions for the AD Connector Account provided as a parameter. Сужение разрешения включает следующие шаги:Tightening permissions involves the following steps:

    • Отключение наследования для указанного объекта.Disable inheritance on the specified object

    • Удаление всех элементов управления доступом в конкретном объекте, за исключением элементов управления доступом, характерных для самого объекта, поскольку при работе с самим объектом нам нужно сохранить разрешения по умолчанию без изменений.Remove all ACEs on the specific object, except ACEs specific to SELF as we want to keep the default permissions intact when it comes to SELF.

      Параметр -ADConnectorAccountDN — это учетная запись AD, для которой нужно ограничить разрешения.The -ADConnectorAccountDN parameter is the AD account whose permissions need to be tightened. Обычно это учетная запись домена с именем MSOL_nnnnnnnnnnnn, настроенная в соединителе AD DS (см. в разделе "Определите свою учетную запись соединителя AD DS").This is typically the MSOL_nnnnnnnnnnnn domain account that is configured in the AD DS Connector (see Determine your AD DS Connector Account). В параметре учетных данных необходимо указать учетную запись администратора, которая имеет необходимые правами доступа для ограничения разрешений Active Directory в целевом объекте AD.The -Credential parameter is necessary to specify the Administrator account that has the necessary privileges to restrict Active Directory permissions on the target AD object. Обычно это администратор предприятия или домена.This is typically the Enterprise or Domain Administrator.

    Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>] 
    

    Например:For Example:

    $credential = Get-Credential 
    Set-ADSyncRestrictedPermissions -ADConnectorAccountDN'CN=ADConnectorAccount,CN=Users,DC=Contoso,DC=com' -Credential $credential  
    

    Этот командлет задаст следующие разрешения:This cmdlet will set the following permissions:

    typeType NameName ДоступAccess Применяется кApplies To
    AllowAllow SYSTEMSYSTEM Полный доступFull Control этому объектуThis object
    AllowAllow Администраторы предприятияEnterprise Admins Полный доступFull Control этому объектуThis object
    AllowAllow Администраторы доменаDomain Admins Полный доступFull Control этому объектуThis object
    AllowAllow АдминистраторыAdministrators Полный доступFull Control этому объектуThis object
    AllowAllow Контроллеры домена предприятияEnterprise Domain Controllers Вывод списка содержимогоList Contents этому объектуThis object
    AllowAllow Контроллеры домена предприятияEnterprise Domain Controllers Чтение всех свойствRead All Properties этому объектуThis object
    AllowAllow Контроллеры домена предприятияEnterprise Domain Controllers Разрешения на чтениеRead Permissions этому объектуThis object
    AllowAllow Прошедшие проверку пользователиAuthenticated Users Вывод списка содержимогоList Contents этому объектуThis object
    AllowAllow Прошедшие проверку пользователиAuthenticated Users Чтение всех свойствRead All Properties этому объектуThis object
    AllowAllow Прошедшие проверку пользователиAuthenticated Users Разрешения на чтениеRead Permissions этому объектуThis object

    Следующие шагиNext Steps