Dela via

Microsoft Entra-etableringsagent gMSA PowerShell-cmdletar

  • Artikel

Syftet med det här dokumentet är att beskriva Microsoft Entra-Anslut gMSA PowerShell-cmdletar för molnetableringsagenten. Med de här cmdletarna kan du få mer detaljerad information om vilka behörigheter som tillämpas på tjänstkontot (gMSA). Som standard tillämpar Microsoft Entra Cloud Sync alla behörigheter som liknar Microsoft Entra Anslut på standard-gMSA eller en anpassad gMSA under installationen av molnetableringsagenten.

Det här dokumentet beskriver följande cmdletar:

Set-AADCloudSyncPermissions

Set-AADCloudSyncRestrictedPermissions

Så här använder du cmdletarna:

Följande krav krävs för att använda dessa cmdletar.

  1. Installera etableringsagenten.

  2. Importera PowerShell-modulen Provisioning Agent till en PowerShell-session.

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"

  3. Dessa cmdletar kräver en parameter som heter Credential som kan skickas eller uppmanar användaren om den inte anges på kommandoraden. Beroende på vilken cmdlet-syntax som används måste dessa autentiseringsuppgifter vara ett företagsadministratörskonto eller minst en domänadministratör för måldomänen där du anger behörigheterna.

  4. Om du vill skapa en variabel för autentiseringsuppgifter använder du:

    $credential = Get-Credential

  5. Om du vill ange Active Directory-behörigheter för molnetableringsagenten kan du använda följande cmdlet. Detta ger behörigheter i domänens rot så att tjänstkontot kan hantera lokal Active Directory objekt. Se Använda Set-AADCloudSyncPermissions nedan för exempel på hur du anger behörigheter.

    Set-AADCloudSyncPermissions -EACredential $credential

  6. Om du vill begränsa Active Directory-behörigheter som anges som standard för molnetableringsagentkontot kan du använda följande cmdlet. Detta ökar säkerheten för tjänstkontot genom att inaktivera arv av behörigheter och ta bort alla befintliga behörigheter, förutom SELF och Fullständig kontroll för administratörer. Se Använda Set-AADCloudSyncRestrictedPermission nedan för exempel på hur du begränsar behörigheterna.

    Set-AADCloudSyncRestrictedPermission -Credential $credential

Använda Set-AADCloudSyncPermissions

Set-AADCloudSyncPermissionsstöder följande behörighetstyper som är identiska med de behörigheter som används av Azure AD Anslut Classic Sync (ADSync). Följande behörighetstyper stöds:

Behörighetstyp beskrivning
BasicRead Se BasicRead-behörigheter för Microsoft Entra Anslut
PasswordHashSync Se PasswordHashSync-behörigheter för Microsoft Entra Anslut
PasswordWriteBack Se PasswordWriteBack-behörigheter för Microsoft Entra Anslut
HybridExchangePermissions Se Behörigheter för HybridExchangePermissions för Microsoft Entra Anslut
ExchangeMailPublicFolderPermissions Se Behörigheter för ExchangeMailPublicFolderPermissions för Microsoft Entra Anslut
UserGroupCreateDelete Behörigheter för Microsoft Entra Cloud Syncs gruppetablering till AD. Tillämpar "Skapa/ta bort användarobjekt" på "Det här objektet och alla underordnade objekt" och tillämpar "Skapa/ta bort gruppobjekt" på "Det här objektet och alla underordnade objekt"
Alla Tillämpar alla ovanstående behörigheter

Du kan använda AADCloudSyncPermissions på något av två sätt:

Bevilja behörigheter till alla konfigurerade domäner

Om du beviljar vissa behörigheter till alla konfigurerade domäner måste du använda ett företagsadministratörskonto.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential

Bevilja behörigheter till en specifik domän

Om du beviljar vissa behörigheter till en specifik domän måste du använda en TargetDomainCredential som är företagsadministratör eller domänadministratör för måldomänen. TargetDomain måste redan konfigureras via guiden.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Använda Set-AADCloudSyncRestrictedPermissions

För ökad säkerhet Set-AADCloudSyncRestrictedPermissions skärper du behörigheterna som angetts för själva molnetableringsagentkontot. Härdningsbehörigheter för molnetableringsagentkontot omfattar följande ändringar:

  • Inaktivera arv

  • Ta bort alla standardbehörigheter, förutom ACL:er som är specifika för SELF.

  • Ange fullständig behörighet för SYSTEM, Administratörer, Domänadministratörer och Företagsadministratörer.

  • Ange läsbehörigheter för autentiserade användare och företagsdomänkontrollanter.

    Parametern -Credential är nödvändig för att ange det administratörskonto som har de behörigheter som krävs för att begränsa Active Directory-behörigheter för molnetableringsagentkontot. Detta är vanligtvis domänen eller företagsadministratören.

Till exempel:

$credential = Get-Credential 
Set-AADCloudSyncRestrictedPermissions -Credential $credential