Azure AD Connect выполняет следующие функции: Учетные записи и разрешенияAzure AD Connect: Accounts and permissions

Учетные записи, используемые для Azure AD ConnectAccounts used for Azure AD Connect

Обзор учетных записей

Azure AD Connect использует 3 учетные записи, чтобы синхронизировать данные из локальной среды или Windows Server Active Directory с Azure Active Directory.Azure AD Connect uses 3 accounts in order to synchronize information from on-premises or Windows Server Active Directory to Azure Active Directory. Эти учетные записи приведены ниже.These accounts are:

  • Учетная запись соединителя AD DS: используется для чтения и записи информации в Windows Server Active Directory.AD DS Connector account: used to read/write information to Windows Server Active Directory

  • Учетная запись службы ADSync: используется для запуска службы синхронизации и доступа к базе данных SQL.ADSync service account: used to run the synchronization service and access the SQL database

  • Учетная запись соединителя Azure AD: используется для записи сведений в Azure AD.Azure AD Connector account: used to write information to Azure AD

Помимо этих трех учетных записей, используемых для запуска Azure AD Connect, для установки Azure AD Connect потребуются также следующие учетные записи.In addition to these three accounts used to run Azure AD Connect, you will also need the following additional accounts to install Azure AD Connect. Эти особые значения приведены ниже.These are:

  • Локальная учетная запись администратора: администратор, который устанавливает Azure AD Connect и имеет права локального администратора на компьютере.Local Administrator account: The administrator who is installing Azure AD Connect and who has local Administrator permissions on the machine.

  • Учетная запись администратора предприятия AD DS: используется, если нужно создать учетную запись соединителя Azure AD, описанную выше.AD DS Enterprise Administrator account: Optionally used to create the “AD DS Connector account” above.

  • Учетная запись глобального администратора Azure AD: используется для создания учетной записи соединителя Azure AD и настройки Azure AD.Azure AD Global Administrator account: used to create the Azure AD Connector account and configure Azure AD.

  • Учетная запись SQL SA (необязательная): используется для создания базы данных ADSync при использовании полной версии SQL Server.SQL SA account (optional): used to create the ADSync database when using the full version of SQL Server. Этот сервер SQL Server может быть локальным или удаленным для установки Azure AD Connect.This SQL Server may be local or remote to the Azure AD Connect installation. Этой учетной записью может быть учетная запись администратора предприятия.This account may be the same account as the Enterprise Administrator. Внешнюю подготовку базы данных может выполнять администратор SQL, а установку — администратор Azure AD Connect с правами владельца базы данных.Provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights. Дополнительные сведения см. в статье Установка Azure AD Connect с использованием делегированных разрешений администратора SQL.For information on this see Install Azure AD Connect using SQL delegated administrator permissions

Установка Azure AD ConnectInstalling Azure AD Connect

Мастер установки Azure AD Connect предлагает два разных варианта.The Azure AD Connect installation wizard offers two different paths:

  • Для варианта "Стандартные параметры" мастеру требуются дополнительные привилегии.In Express Settings, the wizard requires more privileges. Это нужно для того, чтобы мастер мог настроить конфигурацию автоматически и вам не пришлось создавать пользователей или настраивать разрешения.This is so that it can set up your configuration easily, without requiring you to create users or configure permissions.
  • В случае с вариантом "Настраиваемые параметры" мастер предлагает вам самостоятельно выбрать различные параметры.In Custom Settings, the wizard offers you more choices and options. Однако в некоторых ситуациях вы должны убедиться, что у вас есть необходимые разрешения.However, there are some situations in which you need to ensure you have the correct permissions yourself.

Установка со стандартными параметрамиExpress settings installation

В режиме "Стандартные параметры" мастер установки запрашивает следующее:In Express settings, the installation wizard asks for the following:

  • учетные данные администратора предприятия AD DS;AD DS Enterprise Administrator credentials
  • учетные данные глобального администратора Azure AD.Azure AD Global Administrator credentials

Учетные данные администратора предприятия AD DSAD DS Enterprise Admin credentials

Учетная запись администратора предприятия AD DS используется для настройки локальной среды Active Directory.The AD DS Enterprise Admin account is used to configure your on-premises Active Directory. Эти учетные данные используются только во время установки и не используются после ее завершения.These credentials are only used during the installation and are not used after the installation has completed. Именно учетные данные администратора предприятия, а не администратора домена, должны использоваться для настройки разрешений в Active Directory во всех доменах.The Enterprise Admin, not the Domain Admin should make sure the permissions in Active Directory can be set in all domains.

Если вы выполняете обновление из DirSync, учетные данные администратора предприятия в AD DS применяются для сброса пароля учетной записи, используемой средством DirSync.If you are upgrading from DirSync, the AD DS Enterprise Admins credentials are used to reset the password for the account used by DirSync. Кроме того, вам требуются учетные данные глобального администратора в Azure AD.You also need Azure AD Global Administrator credentials.

Учетные данные глобального администратора Azure ADAzure AD Global Admin credentials

Эти учетные данные используются только во время установки и не используются после ее завершения.These credentials are only used during the installation and are not used after the installation has completed. Они применяются для создания учетной записи соединителя Azure Active Directory, используемой для синхронизации изменений с Azure Active Directory.It is used to create the Azure AD Connector account used for synchronizing changes to Azure AD. Эта учетная запись включает также функцию синхронизации в службе Azure AD.The account also enables sync as a feature in Azure AD.

Разрешения учетной записи соединителя AD DS, необходимые для режима "Стандартные параметры"AD DS Connector account required permissions for express settings

Учетная запись соединителя AD DS со стандартными параметрами, созданная для чтения и записи в данных в Windows Server AD, имеет следующие разрешения:The AD DS Connector account is created for reading and writing to Windows Server AD and has the following permissions when created by express settings:

РазрешениеPermission Область использованияUsed for
  • Репликация изменений каталогаReplicate Directory Changes
  • Репликация всех изменений каталогаReplicate Directory Changes All
  • Синхронизация хэша паролейPassword hash sync
    Чтение и запись всех свойств для пользователяRead/Write all properties User Гибридный импорт и обменImport and Exchange hybrid
    Чтение и запись всех свойств для iNetOrgPersonRead/Write all properties iNetOrgPerson Гибридный импорт и обменImport and Exchange hybrid
    Чтение и запись всех свойств для группыRead/Write all properties Group Гибридный импорт и обменImport and Exchange hybrid
    Чтение и запись всех свойств для контактаRead/Write all properties Contact Гибридный импорт и обменImport and Exchange hybrid
    Сброс пароляReset password Подготовка к включению компонента обратной записи паролейPreparation for enabling password writeback

    Сводка мастера экспресс-установкиExpress installation wizard summary

    Экспресс-установка

    Ниже приведена сводная информация о страницах мастера экспресс-установки, собираемых учетных данных и их области использования.The following is a summary of the express installation wizard pages, the credentials collected, and what they are used for.

    Страница мастераWizard Page Собираемые учетные данныеCredentials Collected Необходимые разрешенияPermissions Required Область использованияUsed For
    Н/ДN/A Пользователь, запускающий мастер установкиUser running the installation wizard Администратор локального сервераAdministrator of the local server
  • Создание учетной записи службы ADSync, используемой для запуска службы синхронизации.Creates the ADSync service account that is used as to run the synchronization service.
  • Подключение к Azure ADConnect to Azure AD Учетные данные каталога Azure ADAzure AD directory credentials Роль глобального администратора в Azure ADGlobal administrator role in Azure AD
  • Включение синхронизации в каталоге Azure AD.Enabling sync in the Azure AD directory.
  • Создание учетной записи соединителя Azure Active Directory, которая используется для выполнения текущих операций синхронизации в Azure Active Directory.Creation of the Azure AD Connector account that is used for on-going sync operations in Azure AD.
  • Подключение к AD DSConnect to AD DS Учетные данные локальной службы Active DirectoryOn-premises Active Directory credentials Член группы администраторов предприятия в Active DirectoryMember of the Enterprise Admins (EA) group in Active Directory
  • Создание учетной записи соединителя AD DS в доменных службах Active Directory и назначение ей разрешений.Creates the AD DS Connector account in Active Directory and grants permissions to it. Эта созданная учетная запись используется для чтения и записи данных каталога во время синхронизации.This created account is used to read and write directory information during synchronization.
  • Параметры выборочной установкиCustom installation settings

    С помощью выборочной установки мастер предлагает вам самостоятельно выбрать различные параметры.With the custom settings installation, the wizard offers you more choices and options.

    Сводка мастера выборочной установкиCustom installation wizard summary

    Ниже приведена сводная информация о страницах мастера выборочной установки, собираемых учетных данных и их области использования.The following is a summary of the custom installation wizard pages, the credentials collected, and what they are used for.

    Экспресс-установка

    Страница мастераWizard Page Собираемые учетные данныеCredentials Collected Необходимые разрешенияPermissions Required Область использованияUsed For
    Н/ДN/A Пользователь, запускающий мастер установкиUser running the installation wizard
  • Администратор локального сервераAdministrator of the local server
  • При использовании полной версии SQL Server пользователь должен быть системным администратором (SA) в SQLIf using a full SQL Server, the user must be System Administrator (SA) in SQL
  • По умолчанию создает локальную учетную запись, которая используется в качестве учетной записи службы модуля синхронизации.By default, creates the local account that is used as the sync engine service account. Эта учетная запись создается только в том случае, если администратор не указывает определенную учетную запись.The account is only created when the admin does not specify a particular account.
    Установка служб синхронизации (параметр "Учетная запись службы")Install synchronization services, Service account option Учетные данные AD или локального пользователяAD or local user account credentials Разрешения пользователя предоставляет мастер установки.User, permissions are granted by the installation wizard Если администратор указал учетную запись, она будет использоваться в качестве учетной записи службы синхронизации.If the admin specifies an account, this account is used as the service account for the sync service.
    Подключение к Azure ADConnect to Azure AD Учетные данные каталога Azure ADAzure AD directory credentials Роль глобального администратора в Azure ADGlobal administrator role in Azure AD
  • Включение синхронизации в каталоге Azure AD.Enabling sync in the Azure AD directory.
  • Создание учетной записи соединителя Azure Active Directory, которая используется для выполнения текущих операций синхронизации в Azure Active Directory.Creation of the Azure AD Connector account that is used for on-going sync operations in Azure AD.
  • Подключение к каталогамConnect your directories Учетные данные локальной службы Active Directory для каждого леса, подключенного к Azure AD.On-premises Active Directory credentials for each forest that is connected to Azure AD Разрешения зависят от включенных вами функций. Дополнительные сведения см. в разделе "Создание учетной записи Azure AD DS".The permissions depend on which features you enable and can be found in Create the AD DS Connector account Эта учетная запись используется для чтения и записи данных каталога во время синхронизации.This account is used to read and write directory information during synchronization.
    Серверы AD FSAD FS Servers Для каждого сервера в списке мастер собирает учетные данные, когда недостаточно для подключения от входа в учетные данные пользователя, запустившего мастерFor each server in the list, the wizard collects credentials when the sign-in credentials of the user running the wizard are insufficient to connect Администратор доменаDomain Administrator Установка и настройка роли сервера AD FS.Installation and configuration of the AD FS server role.
    Прокси-серверы веб-приложенийWeb application proxy servers Для каждого сервера в списке мастер собирает учетные данные, когда недостаточно для подключения от входа в учетные данные пользователя, запустившего мастерFor each server in the list, the wizard collects credentials when the sign-in credentials of the user running the wizard are insufficient to connect Локальный администратор на целевом компьютереLocal admin on the target machine Установка и настройка роли сервера WAP.Installation and configuration of WAP server role.
    Учетные данные доверия прокси-сервераProxy trust credentials Учетные данные доверия службам федерации (учетные данные, которые прокси-сервер использует для получения сертификата доверия из служб федерации)Federation service trust credentials (the credentials the proxy uses to enroll for a trust certificate from the FS Учетная запись домена, принадлежащая локальному администратору сервера AD FSDomain account that is a local administrator of the AD FS server Начальная регистрация сертификата доверия FS-WAP.Initial enrollment of FS-WAP trust certificate.
    Учетная запись службы AD FS (параметр "Использовать учетную запись пользователя домена")AD FS Service Account page, "Use a domain user account option" Учетные данные пользователя ADAD user account credentials Пользователь доменаDomain user Учетная запись пользователя Azure AD, предоставляются учетные данные которого используется в качестве входа учетной записи службы AD FS.The Azure AD user account whose credentials are provided is used as the sign-in account of the AD FS service.

    Создание учетной записи соединителя AD DSCreate the AD DS Connector account

    Важно!

    Новый модуль PowerShell с именем ADSyncConfig.psm1 был представлен в сборке 1.1.880.0 (выпущенной в августе 2018 года). Эта сборка включает в себя коллекцию командлетов, которые помогут вам настроить правильные разрешения Active Directory для учетной записи соединителя Azure AD DS.A new PowerShell Module named ADSyncConfig.psm1 was introduced with build 1.1.880.0 (released in August 2018) that includes a collection of cmdlets to help you configure the correct Active Directory permissions for the Azure AD DS Connector account.

    Дополнительные сведения см. в статье Azure AD Connect выполняет следующие функции: Настройка разрешений учетной записи соединителя AD DSFor more information see Azure AD Connect: Configure AD DS Connector Account Permission

    Учетная запись, которая указывается на странице Подключить каталоги, на момент установки должна уже существовать в Active Directory.The account you specify on the Connect your directories page must be present in Active Directory prior to installation. В Azure AD Connect начиная с версии 1.1.524.0 есть возможность разрешить мастеру Azure AD Connect создать учетную запись соединителя AD DS, используемую для подключения к Active Directory.Azure AD Connect version 1.1.524.0 and later has the option to let the Azure AD Connect wizard create the AD DS Connector account used to connect to Active Directory.

    Кроме того, у нее должны быть все необходимые разрешения.It must also have the required permissions granted. Мастер установки не проверяет разрешения, поэтому все проблемы выявляются только во время синхронизации.The installation wizard does not verify the permissions and any issues are only found during synchronization.

    Необходимые разрешения зависят от включаемых дополнительных функций.Which permissions you require depends on the optional features you enable. При наличии нескольких доменов следует предоставить разрешения для всех доменов в лесу.If you have multiple domains, the permissions must be granted for all domains in the forest. Если ни одна из этих функций не включена, достаточно разрешений Пользователь домена , используемых по умолчанию.If you do not enable any of these features, the default Domain User permissions are sufficient.

    КомпонентFeature РазрешенияPermissions
    функция ms-DS-ConsistencyGuidms-DS-ConsistencyGuid feature Разрешения на запись для атрибута ms-DS-ConsistencyGuid см. в статье Azure AD Connect: принципы проектирования.Write permissions to the ms-DS-ConsistencyGuid attribute documented in Design Concepts - Using ms-DS-ConsistencyGuid as sourceAnchor.
    Синхронизация хэша паролейPassword hash sync
  • Репликация изменений каталогаReplicate Directory Changes
  • Репликация всех изменений каталогаReplicate Directory Changes All
  • Гибридное развертывание ExchangeExchange hybrid deployment Запишите разрешения в атрибуты, описанные в статье Гибридная обратная запись Exchange для пользователей, групп и контактов.Write permissions to the attributes documented in Exchange hybrid writeback for users, groups, and contacts.
    Общедоступная папка почты ExchangeExchange Mail Public Folder Разрешения на чтение для атрибутов, описанных в статье Службы синхронизации Azure AD Connect: атрибуты, синхронизируемые с Azure Active Directory, для общедоступных папок.Read permissions to the attributes documented in Exchange Mail Public Folder for public folders.
    Компонент обратной записи паролейPassword writeback Запишите разрешения в атрибуты, описанные в статье Приступая к работе с компонентами управления паролями для пользователей.Write permissions to the attributes documented in Getting started with password management for users.
    Обратная запись устройствDevice writeback Разрешения, предоставленные с помощью сценария PowerShell, как описано в статье об обратной записи устройств.Permissions granted with a PowerShell script as described in device writeback.
    Обратная запись группGroup writeback Позволяет вам выполнять обратную запись групп Office 365 в лес с установленным Exchange.Allows you to writeback Office 365 Groups to a forest with Exchange installed. Дополнительные сведения см. в разделе Обратная запись групп.For more information see Group Writeback.

    ОбновлениеUpgrade

    При обновлении с одной версии Azure AD Connect до нового выпуска требуются следующие разрешения:When you upgrade from one version of Azure AD Connect to a new release, you need the following permissions:

    Важно!

    Начиная со сборки 1.1.484 в Azure AD Connect появилась регрессионная ошибка, из-за которой требуются разрешения администратора для обновления базы данных SQL.Starting with build 1.1.484, Azure AD Connect introduced a regression bug which requires sysadmin permissions to upgrade the SQL database. Эта ошибка будет устранена в сборке 1.1.647.This bug is corrected in build 1.1.647. При обновлении до этой сборки вам потребуются разрешения системного администратора.If you are upgrading to this build, you will need sysadmin permissions. Разрешений владельца базы данных недостаточно.Dbo permissions are not sufficient. Если вы попытаетесь обновить Azure AD Connect без разрешений системного администратора, обновление завершится ошибкой, а Azure AD Connect будет работать неправильно.If you attempt to upgrade Azure AD Connect without having sysadmin permissions, the upgrade will fail and Azure AD Connect will no longer function correctly afterwards. Корпорация Майкрософт знает о наличии этой ошибки и работает над ее устранением.Microsoft is aware of this and is working to correct this.

    СубъектPrincipal Необходимые разрешенияPermissions required Область использованияUsed for
    Пользователь, запускающий мастер установкиUser running the installation wizard Администратор локального сервераAdministrator of the local server Обновление двоичных файлов.Update binaries.
    Пользователь, запускающий мастер установкиUser running the installation wizard Член ADSyncAdminsMember of ADSyncAdmins Внесение изменений в правила синхронизации и другие настройки.Make changes to Sync Rules and other configuration.
    Пользователь, запускающий мастер установкиUser running the installation wizard При использовании полной версии SQL Server: разрешения DBO (или схожие) базы данных модуля синхронизацииIf you use a full SQL server: DBO (or similar) of the sync engine database Внесение изменений на уровне базы данных, например обновление таблицы с помощью новых столбцов.Make database level changes, such as updating tables with new columns.

    Дополнительные сведения о созданных учетных записяхMore about the created accounts

    Учетная запись соединителя AD DSAD DS Connector account

    Если используются стандартные параметры, учетная запись создается в той службе Active Directory, которая используется для синхронизации.If you use express settings, then an account is created in Active Directory that is used for synchronization. Созданная учетная запись находится в корневом домене леса в контейнере Users, а ее имя содержит префикс MSOL_ .The created account is located in the forest root domain in the Users container and has its name prefixed with MSOL_. При создании этой учетной записи используется длинный сложный пароль, который имеет неограниченный срок действия.The account is created with a long complex password that does not expire. Если в домене имеется политика паролей, убедитесь, что для этой учетной записи разрешены длинные и сложные пароли.If you have a password policy in your domain, make sure long and complex passwords would be allowed for this account.

    Учетная запись AD

    Если вы используете настраиваемые параметры, то перед началом установки вам понадобится создать учетную запись.If you use custom settings, then you are responsible for creating the account before you start the installation. Ознакомьтесь с разделом "Создание учетной записи соединителя AD DS".See Create the AD DS Connector account.

    Учетная запись службы ADSyncADSync service account

    Служба синхронизации может работать от имени разных учетных записей.The sync service can run under different accounts. Она может быть запущена от имени учетной записи виртуальной службы (VSA), групповой управляемой учетной записи службы (gMSA/sMSA) или учетной записи обычного пользователя.It can run under a Virtual Service Account (VSA), a Group Managed Service Account (gMSA/sMSA), or a regular user account. Поддерживаемые параметры изменены в сборках Connect начиная с апреля 2017 г. при выполнении новой установки.The supported options were changed with the 2017 April release of Connect when you do a fresh installation. При обновлении с более ранней версии Azure AD Connect эти дополнительные параметры недоступны.If you upgrade from an earlier release of Azure AD Connect, these additional options are not available.

    Тип учетной записиType of account Вариант установкиInstallation option ОписаниеDescription
    Учетная запись виртуальной службыVirtual Service Account быстрая и настраиваемая установки, апрель 2017 г. и более поздние версииExpress and custom, 2017 April and later Это параметр, используемый для всех быстрых установок, за исключением установки на контроллер домена.This is the option used for all express installations, except for installations on a Domain Controller. При настраиваемой установке этот тип учетной записи используется по умолчанию, если не указано иное.For custom, it is the default option unless another option is used.
    Групповая управляемая учетная запись службыGroup Managed Service Account Настраиваемая, сборка за апрель 2017 г. и более поздние версииCustom, 2017 April and later Если используется удаленный сервер SQL, то рекомендуется использовать групповую управляемую учетную запись службы.If you use a remote SQL server, then we recommend to use a group managed service account.
    Учетная запись пользователяUser account быстрая и настраиваемая установки, апрель 2017 г. и более поздние версииExpress and custom, 2017 April and later Учетная запись пользователя с префиксом AAD_ создается только во время установки при установке на Windows Server 2008 и при установке на контроллере домена.A user account prefixed with AAD_ is only created during installation when installed on Windows Server 2008 and when installed on a Domain Controller.
    Учетная запись пользователяUser account быстрая и настраиваемая установки, март 2017 г. и более ранние версииExpress and custom, 2017 March and earlier Локальная учетная запись с префиксом AAD_ создается во время установки.A local account prefixed with AAD_ is created during installation. При пользовательской установке можно указать другую учетную запись.When using custom installation, another account can be specified.

    При использовании Connect сборки за март 2017 года или более ранней не следует сбрасывать пароль учетной записи службы, так как после этого Windows удалит ключи шифрования из соображений безопасности.If you use Connect with a build from 2017 March or earlier, then you should not reset the password on the service account since Windows destroys the encryption keys for security reasons. Не удается изменить учетную запись на любую другую учетную запись без повторной установки Azure AD Connect.You cannot change the account to any other account without reinstalling Azure AD Connect. Если происходит обновление до апрельской сборки 2017 г. или более поздней версии, то в ней поддерживается изменение пароля для учетной записи службы, но в то же время нельзя изменить используемую учетную запись.If you upgrade to a build from 2017 April or later, then it is supported to change the password on the service account but you cannot change the account used.

    Важно!

    Учетную запись службы можно задать только при первой установке.You can only set the service account on first installation. Изменение учетной записи службы после завершения установки не поддерживается.It is not supported to change the service account after the installation has completed.

    Это таблица параметров по умолчанию, рекомендуемых и поддерживаемых параметров для учетной записи службы синхронизации.This is a table of the default, recommended, and supported options for the sync service account.

    Условные обозначенияLegend:

    • Жирным показаны параметры по умолчанию, и в большинстве случаев это рекомендуемые параметры.Bold indicates the default option and in most cases the recommended option.
    • Курсивом обозначены рекомендуемые параметры, которые не являются параметрами по умолчанию.Italic indicates the recommended option when it is not the default option.
    • 2008 — параметр по умолчанию при установке на Windows Server 20082008 - Default option when installed on Windows Server 2008
    • Не жирный — поддерживаемый параметрNon-bold - Supported option
    • Локальная учетная запись — учетная запись локального пользователя на сервереLocal account - Local user account on the server
    • Доменная учетная запись — учетная запись пользователя доменаDomain account - Domain user account
    • sMSA — автономная управляемая учетная запись службыsMSA - standalone Managed Service account
    • gMSA — групповая управляемая учетная запись службыgMSA - group Managed Service account
    LocalDBLocalDB
    ExpressExpress
    LocalDB или LocalSQLLocalDB/LocalSQL
    ПользовательскаяCustom
    Удаленная SQLRemote SQL
    ПользовательскаяCustom
    автономный компьютер или компьютер в составе рабочей группыstandalone/workgroup machine Не поддерживаетсяNot supported VSAVSA
    Локальная учетная запись (2008)Local account (2008)
    Локальная учетная записьLocal account
    Не поддерживаетсяNot supported
    компьютер, присоединенный к доменуdomain-joined machine VSAVSA
    Локальная учетная запись (2008)Local account (2008)
    VSAVSA
    Локальная учетная запись (2008)Local account (2008)
    Локальная учетная записьLocal account
    Доменная учетная запись.Domain account
    sMSA,gMSAsMSA,gMSA
    gMSAgMSA
    Доменная учетная запись.Domain account
    Контроллер доменаDomain Controller Доменная учетная записьDomain account gMSAgMSA
    Доменная учетная записьDomain account
    sMSAsMSA
    gMSAgMSA
    Доменная учетная записьDomain account

    Учетная запись виртуальной службыVirtual service account

    Учетная запись виртуальной службы — особый тип учетной записи, которая не имеет пароля и управляется ОС Windows.A virtual service account is a special type of account that does not have a password and is managed by Windows.

    VSA

    Учетная запись VSA предназначена для использования в сценариях, когда модуль синхронизации и SQL находятся на одном сервере.The VSA is intended to be used with scenarios where the sync engine and SQL are on the same server. Если используется удаленный сервер SQL, то вместо нее рекомендуется использовать групповую управляемую учетную запись службы.If you use remote SQL, then we recommend to use a Group Managed Service Account instead.

    Для этой функции требуется Windows Server 2008 R2 или более поздней версии.This feature requires Windows Server 2008 R2 or later. Если установить Azure AD Connect на Windows Server 2008, то установка будет осуществляться с помощью учетной записи пользователя.If you install Azure AD Connect on Windows Server 2008, then the installation falls back to using a user account instead.

    Групповая управляемая учетная запись службыGroup managed service account

    Если используется удаленный сервер SQL Server, мы рекомендуем использовать групповую управляемую учетную запись службы.If you use a remote SQL server, then we recommend to using a group managed service account. Дополнительные сведения о том, как подготовить каталог Active Directory к использованию групповой управляемой учетной записи службы, см. в разделе Обзор групповых управляемых учетных записей служб.For more information on how to prepare your Active Directory for Group Managed Service account, see Group Managed Service Accounts Overview.

    Чтобы использовать этот параметр, на странице Установка необходимых компонентов выберите Использовать существующую учетную запись службы, а затем выберите Управляемая учетная запись службы.To use this option, on the Install required components page, select Use an existing service account, and select Managed Service Account.
    VSAVSA
    Также поддерживается использование автономной управляемой учетной записи службы.It is also supported to use a standalone managed service account. Такие учетные записи можно использоваться только на локальном компьютере. Использовать их вместо учетной записи виртуальной службы по умолчанию не имеет смысла.However, these can only be used on the local machine and there is no benefit to use them over the default virtual service account.

    Для этой функции требуется Windows Server 2012 R2 или более поздней версии.This feature requires Windows Server 2012 or later. Если необходимо использовать более старую операционную систему и удаленный сервер SQL, то следует использовать учетную запись пользователя.If you need to use an older operating system and use remote SQL, then you must use a user account.

    Учетная запись пользователяUser account

    Локальная учетная запись службы создается мастером установки (если только вы не укажете нужную учетную запись в пользовательских параметрах).A local service account is created by the installation wizard (unless you specify the account to use in custom settings). Эта учетная запись имеет префикс AAD_ и используется для запуска от имени фактической службы синхронизации.The account is prefixed AAD_ and used for the actual sync service to run as. Если Azure AD Connect устанавливается на контроллере домена, учетная запись создается в этом домене.If you install Azure AD Connect on a Domain Controller, the account is created in the domain. Учетная запись службы AAD_ должна быть размещена в домене, если:The AAD_ service account must be located in the domain if:

    • используется удаленный сервер под управлением SQL Server;you use a remote server running SQL server
    • используется прокси-сервер, требующий проверки подлинности.you use a proxy that requires authentication

    Учетная запись службы синхронизации

    При создании этой учетной записи используется длинный сложный пароль, который имеет неограниченный срок действия.The account is created with a long complex password that does not expire.

    Эта учетная запись используется для безопасного хранения паролей других учетных записей.This account is used to store the passwords for the other accounts in a secure way. Эти пароли хранятся в зашифрованном виде в базе данных.These other accounts passwords are stored encrypted in the database. Закрытые ключи защищены службами шифрования с закрытым ключом с использованием API защиты данных Windows (DPAPI).The private keys for the encryption keys are protected with the cryptographic services secret-key encryption using Windows Data Protection API (DPAPI).

    При использовании полной версии SQL Server учетной записью службы является DBO созданной базы данных для модуля синхронизации.If you use a full SQL Server, then the service account is the DBO of the created database for the sync engine. С любыми другими разрешениями служба будет работать ненадлежащим образом.The service will not function as intended with any other permissions. Кроме того, создается имя входа SQL.A SQL login is also created.

    Учетной записи также предоставляются разрешения на файлы, разделы реестра и другие объекты, относящиеся к модулю синхронизации.The account is also granted permissions to files, registry keys, and other objects related to the Sync Engine.

    Учетная запись соединителя Azure ADAzure AD Connector account

    Создается учетная запись в Azure AD для использования службой синхронизации.An account in Azure AD is created for the sync service's use. Эту учетную запись можно определить по ее отображаемому имени.This account can be identified by its display name.

    Учетная запись AD

    Имя сервера, на котором используется учетная запись, можно определить по второй части имени пользователя.The name of the server the account is used on can be identified in the second part of the user name. На этом рисунке серверу присвоено имя DC1.In the picture, the server name is DC1. При наличии промежуточных серверов каждый из них имеет собственную учетную запись.If you have staging servers, each server has its own account.

    При создании этой учетной записи используется длинный сложный пароль, который имеет неограниченный срок действия.The account is created with a long complex password that does not expire. Учетной записи назначается специальная роль Учетная запись синхронизации каталогов , которая имеет разрешения только на выполнение задач синхронизации каталогов.It is granted a special role Directory Synchronization Accounts that has only permissions to perform directory synchronization tasks. Эту встроенную роль можно назначить только в мастере Azure AD Connect.This special built-in role cannot be granted outside of the Azure AD Connect wizard. На портале Azure такая учетная запись отображается с ролью Пользователь.The Azure portal shows this account with the role User.

    Число учетных записей службы синхронизации в Azure AD не должно превышать 20.There is a limit of 20 sync service accounts in Azure AD. Чтобы получить список существующих учетных записей службы Azure AD в Azure AD, выполните следующий командлет Azure AD PowerShell: Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMemberTo get the list of existing Azure AD service accounts in your Azure AD, run the following Azure AD PowerShell cmdlet: Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMember

    Чтобы удалить неиспользуемые учетные записи службы Azure AD, выполните следующий командлет Azure AD PowerShell: Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove>To remove unused Azure AD service accounts, run the following Azure AD PowerShell cmdlet: Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove>

    Примечание

    Перед тем как использовать указанные выше команды PowerShell необходимо установить Azure Active Directory PowerShell для модуля Graph и подключитесь к экземпляру Azure AD с помощью Connect-AzureADBefore you can use the above PowerShell commands you will need to install the Azure Active Directory PowerShell for Graph module and connect to your instance of Azure AD using Connect-AzureAD

    Дополнительные сведения о том, как управлять или сброс пароля для учетной записи соединителя Azure AD см. в разделе Управление учетной записью Azure AD ConnectFor additional information on how to manage or reset the password for the Azure AD Connector account see Manage the Azure AD Connect account

    Если вы еще не ознакомились с документацией по интеграции локальных удостоверений с Azure Active Directory, см. разделы, на которые ведут ссылки в таблице ниже.If you did not read the documentation on Integrating your on-premises identities with Azure Active Directory, the following table provides links to related topics.

    РазделTopic СсылкаLink
    Загрузка Azure AD ConnectDownload Azure AD Connect Загрузка Azure AD ConnectDownload Azure AD Connect
    Установка с помощью стандартных параметровInstall using Express settings Экспресс-установка Azure AD ConnectExpress installation of Azure AD Connect
    Установка с помощью настроенных параметровInstall using Customized settings Выборочная установка Azure AD ConnectCustom installation of Azure AD Connect
    Обновление из DirSyncUpgrade from DirSync Azure AD Connect: обновление DirSyncUpgrade from Azure AD sync tool (DirSync)
    После установкиAfter installation Проверьте установку и назначение лицензийVerify the installation and assign licenses

    Дальнейшие действияNext steps

    Узнайте больше об интеграции локальных удостоверений с Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.