Установка Azure AD Connect с использованием делегированных разрешений администратора SQLInstall Azure AD Connect using SQL delegated administrator permissions

До последней сборки Azure AD Connect административное делегирование при развертывании конфигураций, для которых требовался SQL, не поддерживалось.Prior to the latest Azure AD Connect build, administrative delegation, when deploying configurations that required SQL, was not supported. Пользователям, которые хотят установить Azure AD Connect, необходимо иметь разрешения администратора сервера на сервере SQL.Users who wanted to install Azure AD Connect needed to have server administrator (SA) permissions on the SQL server.

В последнем выпуске Azure AD Connect внешнюю подготовку базы данных может выполнять администратор SQL, а установку — администратор Azure AD Connect с правами владельца базы данных.With the latest release of Azure AD Connect, provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights.

Перед началом работыBefore you begin

Чтобы использовать эту функцию, необходимо понимать, что имеется несколько перемещаемых частей, для каждой из которых требуется отдельный администратор в вашей организации.To use this feature, you need to realize that there are several moving parts and each one may involve a different administrator in your organization. В указанной ниже таблице приведены отдельные роли и их соответствующие обязанности при развертывании Azure AD Connect с помощью этой функции.The following table summarizes the individual roles and their respective duties in deploying Azure AD Connect with this feature.

РольRole ОписаниеDescription
Администратор домена или леса ADDomain or Forest AD administrator Создает учетную запись службы на уровне домена, используемую Azure AD Connect для запуска службы синхронизации.Creates the domain level service account that is used by Azure AD Connect to run the sync service. Дополнительные сведения об учетных записях службы см. в статье Azure AD Connect: учетные записи и разрешения.For more information on service accounts, see Accounts and permissions.
Администратор SQLSQL administrator Создает базу данных ADSync и предоставляет доступ для входа и доступ владельца базы данных администратору Azure AD Connect и учетной записи службы, созданной администратором домена или леса.Creates the ADSync database and grants login + dbo access to the Azure AD Connect administrator and the service account created by the domain/forest admin.
Администратор Azure AD ConnectAzure AD Connect administrator Устанавливает Azure AD Connect и указывает учетную запись службы во время выборочной установки.Installs Azure AD Connect and specifies the service account during custom installation.

Инструкции по установке Azure AD Connect с использованием делегированных разрешений SQLSteps for installing Azure AD Connect using SQL delegated permissions

Выполните указанные ниже действия, чтобы подготовить внешнюю базу данных и установить Azure AD Connect с разрешениями владельца базы данных.To provision the database out of band and install Azure AD Connect with database owner permissions, use the following steps.

Примечание

Хотя это не обязательно, настоятельно рекомендуется выбрать параметры сортировки Latin1_General_CI_AS при создании базы данных.Although it is not required, it is highly recommended that the Latin1_General_CI_AS collation is selected when creating the database.

  1. При помощи администратора SQL создайте базу данных ADSync с последовательностью параметров сортировки без учета регистра (Latin1_General_CI_AS) .Have the SQL Administrator create the ADSync database with a case insensitive collation sequence (Latin1_General_CI_AS). Имя базы данных должно быть ADSync.The database must be named ADSync. Модель восстановления, уровень совместимости и тип вложения обновляются до правильных значений при установке Azure AD Connect.The recovery model, compatibility level, and containment type are updated to the correct values when Azure AD Connect is installed. Однако администратор SQL должен правильно настроить последовательность параметров сортировки. В противном случае Azure AD Connect заблокирует установку.However the collation sequence must be set correctly by the SQL administrator otherwise Azure AD Connect will block the installation. Чтобы восстановить установку, администратор сервера должен удалить и повторно создать базу данных.To recover the SA must delete and recreate the database.

    Collation

  2. Предоставьте администратору Azure AD Connect и учетной записи службы домена следующие разрешения:Grant the Azure AD Connect administrator and the domain service account the following permissions:

    • Имя входа SQLSQL Login
    • Права владельца базы данных (dbo) .database owner(dbo) rights.

    Разрешения

    Примечание

    Azure AD Connect не поддерживает имена входа с помощью вложенного членства.Azure AD Connect does not support logins with a nested membership. Это означает, что в вашей учетной записи администратора Azure AD Connect и учетной записи службы домена должны быть связаны с именем входа, предоставляются права dbo.This means your Azure AD Connect administrator account and domain service account must be linked to a login that is granted dbo rights. Просто она не может быть членом группы, присвоенный имени входа с правами dbo.It cannot simply be the member of a group that is assigned to a login with dbo rights.

  3. Отправьте электронное сообщение администратору Azure AD Connect, указав сервер и имя экземпляра SQL, которые должны использоваться при установке Azure AD Connect.Send an email to the Azure AD Connect administrator indicating the SQL server and instance name that should be used when installing Azure AD Connect.

Дополнительные сведенияAdditional information

После подготовки базы данных администратор Azure AD Connect может для удобства установить и настроить службу локальной синхронизации.Once the database is provisioned, the Azure AD Connect administrator can install and configure on-premises synchronization at their convenience.

В случае, если администратор SQL восстановит базу данных ADSync из предыдущей резервной копии Azure AD Connect, необходимо будет установить новый сервер Azure AD Connect с помощью существующей базы данных.In case the SQL Administrator has restored ADSync database from a previous Azure AD Connect backup, you will need to install the new Azure AD Connect server by using an existing database. Дополнительные сведения об установке Azure AD Connect с существующей базы данных см. в разделе установке Azure AD Connect с использованием базы данных ADSync.For more information on installing Azure AD Connect with an existing database, see Install Azure AD Connect using an existing ADSync database.

Дальнейшие действияNext steps