Azure AD Connect: Konton och behörigheterAzure AD Connect: Accounts and permissions

Konton som används för Azure AD ConnectAccounts used for Azure AD Connect

översikt över konton

Azure AD Connect använder 3 konton för att synkronisera information från lokal plats eller från Windows Server Active Directory till Azure Active Directory.Azure AD Connect uses 3 accounts in order to synchronize information from on-premises or Windows Server Active Directory to Azure Active Directory. Dessa konton är:These accounts are:

  • AD DS Connector-konto: används för att läsa/skriva information till Windows Server Active DirectoryAD DS Connector account: used to read/write information to Windows Server Active Directory

  • ADSync-tjänstkonto: används för att köra synkroniseringstjänsten och få åtkomst till SQL-databasenADSync service account: used to run the synchronization service and access the SQL database

  • Azure AD Connector-konto: används för att skriva information till Azure ADAzure AD Connector account: used to write information to Azure AD

Förutom dessa tre konton som används för att köra Azure AD Connect behöver du även följande ytterligare konton för att installera Azure AD Connect.In addition to these three accounts used to run Azure AD Connect, you will also need the following additional accounts to install Azure AD Connect. Dessa är:These are:

  • Lokalt administratörskonto: Den administratör som installerar Azure AD Connect och som har lokal administratörsbehörighet på datorn.Local Administrator account: The administrator who is installing Azure AD Connect and who has local Administrator permissions on the machine.

  • AD DS Enterprise Administrator-konto: Kan användas för att skapa "AD DS Connector-kontot" ovan.AD DS Enterprise Administrator account: Optionally used to create the “AD DS Connector account” above.

  • Globalt administratörskonto för Azure AD: används för att skapa Azure AD Connector-kontot och konfigurera Azure AD.Azure AD Global Administrator account: used to create the Azure AD Connector account and configure Azure AD. Du kan visa globala administratörskonton i Azure Portal.You can view global administrator accounts in the Azure portal. Se Visa lista över Azure AD-rolltilldelningar.See List Azure AD role assignments.

  • SQL SA-konto (valfritt): används för att skapa ADSync-databasen när du använder den fullständiga versionen av SQL Server.SQL SA account (optional): used to create the ADSync database when using the full version of SQL Server. Den SQL Server kan vara lokal eller fjärransluten till Azure AD Connect installation.This SQL Server may be local or remote to the Azure AD Connect installation. Det här kontot kan vara samma konto som företagsadministratören.This account may be the same account as the Enterprise Administrator. Etablering av databasen kan nu utföras out-of-band av SQL-administratören och sedan installeras av Azure AD Connect administratören med behörighet som databasägare.Provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights. Mer information om detta finns i Installera Azure AD Connect SQL-delegerade administratörsbehörigheterFor information on this see Install Azure AD Connect using SQL delegated administrator permissions

Viktigt

Från och med version 1.4.###.# stöds det inte längre att använda en företagsadministratör eller ett domänadministratörskonto som AD DS Connector-konto.As of build 1.4.###.# it is no longer supported to use an enterprise admin or a domain admin account as the AD DS Connector account. Om du försöker ange ett konto som är företagsadministratör eller domänadministratör när du anger använd befintligt konto får du ett felmeddelande.If you attempt to enter an account that is an enterprise admin or domain admin when specifying use existing account, you will receive an error.

Anteckning

Det finns stöd för att hantera administrativa konton som används i Azure AD Connect från en administrativ ESAE-skog (kallas även "röd skog").It is supported to manage the administrative accounts used in Azure AD Connect from an ESAE Administrative Forest (also know as "Red forest"). Dedikerade administrativa skogar tillåter organisationer att vara värdar för administrativa konton, arbetsstationer och grupper i en miljö som har starkare säkerhetskontroller än produktionsmiljön.Dedicated administrative forests allow organizations to host administrative accounts, workstations, and groups in an environment that has stronger security controls than the production environment. Mer information om dedikerade administrativa skogar finns i ESAE:s administrativa skogsdesign.To learn more about dedicated administrative forests please refer to ESAE Administrative Forest Design Approach.

Anteckning

Rollen Global administratör krävs inte efter den första installationen och det enda konto som krävs är rollkontot för katalogsynkroniseringskonton.The Global Administrator role is not required after the initial setup and the only required account will be the Directory Synchronization Accounts role account. Det innebär inte nödvändigtvis att du bara vill ta bort kontot med rollen Global administratör.That does not necessarily mean that you will want to just remove the account with the Global Administrator role. Det är bättre att ändra rollen till en mindre kraftfull roll, eftersom det kan uppstå problem om du skulle behöva köra guiden igen om du tar bort kontot helt.It is better to change the role to a less powerful role, as totally removing the account may introduce issues if you ever need to re-run the wizard again. Genom att minska behörigheten för rollen kan du alltid höja behörigheterna igen om du behöver använda Azure AD Connect guiden igen.By reducing the privilege of the role you can always re-elevate the privileges if you have to utilize the Azure AD Connect wizard again.

Installera Azure AD ConnectInstalling Azure AD Connect

Installationsguiden Azure AD Connect två olika sökvägar:The Azure AD Connect installation wizard offers two different paths:

  • I Expressinställningar kräver guiden fler behörigheter.In Express Settings, the wizard requires more privileges. Det är så att den enkelt kan konfigurera konfigurationen, utan att du behöver skapa användare eller konfigurera behörigheter.This is so that it can set up your configuration easily, without requiring you to create users or configure permissions.
  • I Anpassade inställningar erbjuder guiden fler alternativ och alternativ.In Custom Settings, the wizard offers you more choices and options. Det finns dock vissa situationer där du måste se till att du har rätt behörigheter själv.However, there are some situations in which you need to ensure you have the correct permissions yourself.

Installation av expressinställningarExpress settings installation

I Expressinställningar frågar installationsguiden efter följande:In Express settings, the installation wizard asks for the following:

  • Autentiseringsuppgifter för AD DS Enterprise AdministratorAD DS Enterprise Administrator credentials
  • Autentiseringsuppgifter för global Azure AD-administratörAzure AD Global Administrator credentials

Autentiseringsuppgifter för AD DS Enterprise-administratörAD DS Enterprise Admin credentials

AD DS Enterprise Admin-kontot används för att konfigurera lokal Active Directory.The AD DS Enterprise Admin account is used to configure your on-premises Active Directory. Dessa autentiseringsuppgifter används endast under installationen och används inte när installationen har slutförts.These credentials are only used during the installation and are not used after the installation has completed. Företagsadministratören, inte domänadministratören, bör se till att behörigheterna i Active Directory kan anges i alla domäner.The Enterprise Admin, not the Domain Admin should make sure the permissions in Active Directory can be set in all domains.

Om du uppgraderar från DirSync används autentiseringsuppgifterna för AD DS Enterprise Admins för att återställa lösenordet för kontot som används av DirSync.If you are upgrading from DirSync, the AD DS Enterprise Admins credentials are used to reset the password for the account used by DirSync. Du behöver även autentiseringsuppgifter som global Azure AD-administratör.You also need Azure AD Global Administrator credentials.

Autentiseringsuppgifter för global Azure AD-administratörAzure AD Global Admin credentials

Dessa autentiseringsuppgifter används endast under installationen och används inte när installationen har slutförts.These credentials are only used during the installation and are not used after the installation has completed. Den används för att skapa azure AD Connector-kontot som används för att synkronisera ändringar i Azure AD.It is used to create the Azure AD Connector account used for synchronizing changes to Azure AD. Kontot aktiverar även synkronisering som en funktion i Azure AD.The account also enables sync as a feature in Azure AD.

Mer information om globala administratörskonton finns i Global administratör.For more information on Global Administrator accounts, see Global Administrator.

Ad DS Connector-konto som krävs behörigheter för expressinställningarAD DS Connector account required permissions for express settings

AD DS Connector-kontot skapas för läsning och skrivning till Windows Server AD och har följande behörigheter när det skapas av expressinställningar:The AD DS Connector account is created for reading and writing to Windows Server AD and has the following permissions when created by express settings:

BehörighetPermission Används förUsed for
  • Replikera katalogändringarReplicate Directory Changes
  • Replikera katalogändringar – allaReplicate Directory Changes All
  • Synkronisering av lösenordshasharPassword hash sync
    Läsa/skriva alla egenskaper AnvändareRead/Write all properties User Import och Exchange-hybridImport and Exchange hybrid
    Läsa/skriva alla egenskaper iNetOrgPersonRead/Write all properties iNetOrgPerson Import och Exchange-hybridImport and Exchange hybrid
    Läsa/skriva alla egenskaper GruppRead/Write all properties Group Import och Exchange-hybridImport and Exchange hybrid
    Läsa/skriva alla egenskaper KontaktRead/Write all properties Contact Import och Exchange-hybridImport and Exchange hybrid
    Återställa lösenordReset password Förberedelse för att aktivera tillbakaskrivning av lösenordPreparation for enabling password writeback

    Översikt över snabbinstallationsguidenExpress installation wizard summary

    Expressinstallation

    Följande är en sammanfattning av sidorna i snabbinstallationsguiden, de autentiseringsuppgifter som samlas in och vad de används för.The following is a summary of the express installation wizard pages, the credentials collected, and what they are used for.

    GuidesidaWizard Page Insamlade autentiseringsuppgifterCredentials Collected Behörigheter som krävsPermissions Required Används förUsed For
    Ej tillämpligtN/A Användare som kör installationsguidenUser running the installation wizard Administratör för den lokala servernAdministrator of the local server
  • Skapar ADSync-tjänstkontot som används som för att köra synkroniseringstjänsten.Creates the ADSync service account that is used as to run the synchronization service.
  • Anslut till Azure ADConnect to Azure AD Autentiseringsuppgifter för Azure AD-katalogenAzure AD directory credentials Global administratör i Azure ADGlobal administrator role in Azure AD
  • Aktivera synkronisering i Azure AD-katalogen.Enabling sync in the Azure AD directory.
  • Skapa det Azure AD Connector-konto som används för löpande synkroniseringsåtgärder i Azure AD.Creation of the Azure AD Connector account that is used for on-going sync operations in Azure AD.
  • Anslut till AD DSConnect to AD DS Lokala Active Directory-autentiseringsuppgifterOn-premises Active Directory credentials Medlem i gruppen Företagsadministratörer (EA) i Active DirectoryMember of the Enterprise Admins (EA) group in Active Directory
  • Skapar AD DS Connector-kontot i Active Directory och ger behörighet till det.Creates the AD DS Connector account in Active Directory and grants permissions to it. Det här skapade kontot används för att läsa och skriva kataloginformation under synkroniseringen.This created account is used to read and write directory information during synchronization.
  • Anpassade installationsinställningarCustom installation settings

    Med installationen av de anpassade inställningarna ger guiden fler alternativ och alternativ.With the custom settings installation, the wizard offers you more choices and options.

    Sammanfattning av guiden för anpassad installationCustom installation wizard summary

    Följande är en sammanfattning av sidorna i guiden för anpassad installation, de autentiseringsuppgifter som samlas in och vad de används för.The following is a summary of the custom installation wizard pages, the credentials collected, and what they are used for.

    Skärmbild som visar sidorna i guiden för anpassad installation.

    GuidesidaWizard Page Insamlade autentiseringsuppgifterCredentials Collected Behörigheter som krävsPermissions Required Används förUsed For
    Ej tillämpligtN/A Användare som kör installationsguidenUser running the installation wizard
  • Administratör för den lokala servernAdministrator of the local server
  • Om du använder SQL Server fullständig behörighet måste användaren vara systemadministratör (SA) i SQLIf using a full SQL Server, the user must be System Administrator (SA) in SQL
  • Som standard skapar det lokala kontot som används som tjänstkonto för synkroniseringsmotorn.By default, creates the local account that is used as the sync engine service account. Kontot skapas bara när administratören inte anger ett visst konto.The account is only created when the admin does not specify a particular account.
    Installera synkroniseringstjänster, tjänstkontoalternativInstall synchronization services, Service account option Autentiseringsuppgifter för AD- eller lokalt användarkontoAD or local user account credentials Användare, behörigheter beviljas av installationsguidenUser, permissions are granted by the installation wizard Om administratören anger ett konto används det här kontot som tjänstkonto för synkroniseringstjänsten.If the admin specifies an account, this account is used as the service account for the sync service.
    Anslut till Azure ADConnect to Azure AD Autentiseringsuppgifter för Azure AD-katalogenAzure AD directory credentials Global administratör roll i Azure ADGlobal administrator role in Azure AD
  • Aktivera synkronisering i Azure AD-katalogen.Enabling sync in the Azure AD directory.
  • Skapa det Azure AD Connector-konto som används för löpande synkroniseringsåtgärder i Azure AD.Creation of the Azure AD Connector account that is used for on-going sync operations in Azure AD.
  • Anslut dina katalogerConnect your directories Lokala Active Directory-autentiseringsuppgifter för varje skog som är ansluten till Azure ADOn-premises Active Directory credentials for each forest that is connected to Azure AD Behörigheterna beror på vilka funktioner du aktiverar och finns i Skapa AD DS Connector-kontotThe permissions depend on which features you enable and can be found in Create the AD DS Connector account Det här kontot används för att läsa och skriva kataloginformation under synkroniseringen.This account is used to read and write directory information during synchronization.
    AD FS-servrarAD FS Servers För varje server i listan samlar guiden in autentiseringsuppgifter när inloggningsuppgifterna för den användare som kör guiden inte räcker för att anslutaFor each server in the list, the wizard collects credentials when the sign-in credentials of the user running the wizard are insufficient to connect DomänadministratörDomain Administrator Installation och konfiguration av AD FS serverrollen.Installation and configuration of the AD FS server role.
    WebbprogramproxyservrarWeb application proxy servers För varje server i listan samlar guiden in autentiseringsuppgifter när inloggningsuppgifterna för den användare som kör guiden inte räcker för att anslutaFor each server in the list, the wizard collects credentials when the sign-in credentials of the user running the wizard are insufficient to connect Lokal administratör på måldatornLocal admin on the target machine Installation och konfiguration av WAP-serverrollen.Installation and configuration of WAP server role.
    Autentiseringsuppgifter för proxyförtroendeProxy trust credentials Autentiseringsuppgifter för federationstjänstförtroende (autentiseringsuppgifter som proxyn använder för att registrera för ett förtroendecertifikat från FSFederation service trust credentials (the credentials the proxy uses to enroll for a trust certificate from the FS Domänkonto som är en lokal administratör för AD FS servernDomain account that is a local administrator of the AD FS server Inledande registrering av FS-WAP-förtroendecertifikat.Initial enrollment of FS-WAP trust certificate.
    AD FS till tjänstkontosidan, alternativet "Använd ett domänanvändarkonto"AD FS Service Account page, "Use a domain user account option" Autentiseringsuppgifter för AD-användarkontoAD user account credentials DomänanvändareDomain user Det Azure AD-användarkonto vars autentiseringsuppgifter har angetts används som inloggningskonto för AD FS tjänsten.The Azure AD user account whose credentials are provided is used as the sign-in account of the AD FS service.

    Skapa AD DS Connector-kontotCreate the AD DS Connector account

    Viktigt

    En ny PowerShell-modul med namnet ADSyncConfig.psm1 introducerades med version 1.1.880.0 (släpptes i augusti 2018) som innehåller en samling cmdlets som hjälper dig att konfigurera rätt Active Directory-behörigheter för Azure AD DS Connector-kontot.A new PowerShell Module named ADSyncConfig.psm1 was introduced with build 1.1.880.0 (released in August 2018) that includes a collection of cmdlets to help you configure the correct Active Directory permissions for the Azure AD DS Connector account.

    Mer information finns i Azure AD Connect: Konfigurera kontobehörighet för AD DS ConnectorFor more information see Azure AD Connect: Configure AD DS Connector Account Permission

    Det konto som du anger på sidan Anslut dina kataloger måste finnas i Active Directory före installationen.The account you specify on the Connect your directories page must be present in Active Directory prior to installation. Azure AD Connect version 1.1.524.0 och senare har möjlighet att låta Azure AD Connect-guiden skapa det AD DS Connector-konto som används för att ansluta till Active Directory.Azure AD Connect version 1.1.524.0 and later has the option to let the Azure AD Connect wizard create the AD DS Connector account used to connect to Active Directory.

    Den måste också ha de behörigheter som krävs.It must also have the required permissions granted. Installationsguiden verifierar inte behörigheterna och eventuella problem hittas bara under synkroniseringen.The installation wizard does not verify the permissions and any issues are only found during synchronization.

    Vilka behörigheter du behöver beror på vilka valfria funktioner du aktiverar.Which permissions you require depends on the optional features you enable. Om du har flera domäner måste behörigheterna beviljas för alla domäner i skogen.If you have multiple domains, the permissions must be granted for all domains in the forest. Om du inte aktiverar någon av dessa funktioner räcker standardbehörigheterna för domänanvändare.If you do not enable any of these features, the default Domain User permissions are sufficient.

    FunktionFeature BehörigheterPermissions
    ms-DS-ConsistencyGuid-funktionenms-DS-ConsistencyGuid feature Skriv behörigheter till attributet ms-DS-ConsistencyGuid som dokumenteras i Designbegrepp – Använda ms-DS-ConsistencyGuid som sourceAnchor.Write permissions to the ms-DS-ConsistencyGuid attribute documented in Design Concepts - Using ms-DS-ConsistencyGuid as sourceAnchor.
    Synkronisering av lösenordshasharPassword hash sync
  • Replikera katalogändringarReplicate Directory Changes
  • Replikera katalogändringar – allaReplicate Directory Changes All
  • Exchange-hybriddistributionExchange hybrid deployment Skrivbehörigheter till de attribut som dokumenteras i Exchange-hybrid tillbakaskrivning för användare, grupper och kontakter.Write permissions to the attributes documented in Exchange hybrid writeback for users, groups, and contacts.
    Offentlig Exchange Mail-mappExchange Mail Public Folder Läsbehörighet till attributen som dokumenteras i Exchange Mail Public Folder för offentliga mappar.Read permissions to the attributes documented in Exchange Mail Public Folder for public folders.
    Tillbakaskrivning av lösenordPassword writeback Skrivbehörigheter till attributen som dokumenteras i Komma igång med lösenordshantering för användare.Write permissions to the attributes documented in Getting started with password management for users.
    Tillbakaskrivning av enheterDevice writeback Behörigheter som beviljas med ett PowerShell-skript enligt beskrivningen i tillbakaskrivning av enheter.Permissions granted with a PowerShell script as described in device writeback.
    Tillbakaskrivning av gruppGroup writeback Gör att du kan Microsoft 365-grupper till en skog med Exchange installerat.Allows you to writeback Microsoft 365 Groups to a forest with Exchange installed.

    UppgraderaUpgrade

    När du uppgraderar från en Azure AD Connect till en ny version behöver du följande behörigheter:When you upgrade from one version of Azure AD Connect to a new release, you need the following permissions:

    Viktigt

    Från och med version 1.1.484 Azure AD Connect en regressionsbugg som kräver sysadmin-behörigheter för att uppgradera SQL-databasen.Starting with build 1.1.484, Azure AD Connect introduced a regression bug which requires sysadmin permissions to upgrade the SQL database. Den här buggen korrigeras i version 1.1.647.This bug is corrected in build 1.1.647. Om du uppgraderar till den här versionen behöver du sysadmin-behörigheter.If you are upgrading to this build, you will need sysadmin permissions. Dbo-behörigheter räcker inte.Dbo permissions are not sufficient. Om du försöker uppgradera Azure AD Connect utan sysadmin-behörigheter misslyckas uppgraderingen och Azure AD Connect kommer inte längre att fungera korrekt efteråt.If you attempt to upgrade Azure AD Connect without having sysadmin permissions, the upgrade will fail and Azure AD Connect will no longer function correctly afterwards. Microsoft är medveten om detta och arbetar för att åtgärda detta.Microsoft is aware of this and is working to correct this.

    HuvudkontoPrincipal Behörigheter som krävsPermissions required Används förUsed for
    Användare som kör installationsguidenUser running the installation wizard Administratör för den lokala servernAdministrator of the local server Uppdatera binärfiler.Update binaries.
    Användare som kör installationsguidenUser running the installation wizard Medlem i ADSyncAdminsMember of ADSyncAdmins Gör ändringar i Synkroniseringsregler och annan konfiguration.Make changes to Sync Rules and other configuration.
    Användare som kör installationsguidenUser running the installation wizard Om du använder en fullständig SQL-server: DBO (eller liknande) för synkroniseringsmotorns databasIf you use a full SQL server: DBO (or similar) of the sync engine database Gör ändringar på databasnivå, till exempel uppdatera tabeller med nya kolumner.Make database level changes, such as updating tables with new columns.

    Mer information om de konton som skapatsMore about the created accounts

    AD DS-anslutningskontoAD DS Connector account

    Om du använder standardinställningar skapas ett konto i Active Directory som används för synkronisering.If you use express settings, then an account is created in Active Directory that is used for synchronization. Det skapade kontot finns i skogsrotdomänen i containern Användare och har sitt namn med prefixet MSOL_.The created account is located in the forest root domain in the Users container and has its name prefixed with MSOL_. Kontot skapas med ett långt komplext lösenord som inte upphör att gälla.The account is created with a long complex password that does not expire. Om du har en lösenordsprincip i domänen kontrollerar du att långa och komplexa lösenord tillåts för det här kontot.If you have a password policy in your domain, make sure long and complex passwords would be allowed for this account.

    AD-konto

    Om du använder anpassade inställningar ansvarar du för att skapa kontot innan du startar installationen.If you use custom settings, then you are responsible for creating the account before you start the installation. Se Skapa AD DS Connector-kontot.See Create the AD DS Connector account.

    ADSync-tjänstkontoADSync service account

    Synkroniseringstjänsten kan köras under olika konton.The sync service can run under different accounts. Det kan köras under ett virtuellt tjänstkonto (VSA), ett grupp-hanterat tjänstkonto (gMSA/sMSA) eller ett vanligt användarkonto.It can run under a Virtual Service Account (VSA), a Group Managed Service Account (gMSA/sMSA), or a regular user account. Alternativen som stöds ändrades i aprilversionen 2017 av Connect när du gör en ny installation.The supported options were changed with the 2017 April release of Connect when you do a fresh installation. Om du uppgraderar från en tidigare version Azure AD Connect dessa ytterligare alternativ inte tillgängliga.If you upgrade from an earlier release of Azure AD Connect, these additional options are not available.

    Typ av kontoType of account InstallationsalternativInstallation option DescriptionDescription
    Virtuellt tjänstkontoVirtual Service Account Express och anpassad, 2017 april och senareExpress and custom, 2017 April and later Det här är det alternativ som används för alla expressinstallationer, förutom installationer på en domänkontrollant.This is the option used for all express installations, except for installations on a Domain Controller. För anpassad är det standardalternativet om inte ett annat alternativ används.For custom, it is the default option unless another option is used.
    Grupphanterat tjänstkontoGroup Managed Service Account Anpassad, 2017 april och senareCustom, 2017 April and later Om du använder en fjärransluten SQL-server rekommenderar vi att du använder ett grupp hanterat tjänstkonto.If you use a remote SQL server, then we recommend to use a group managed service account.
    AnvändarkontoUser account Express och anpassad, 2017 april och senareExpress and custom, 2017 April and later Ett användarkonto med prefixet AAD_ endast under installationen när det installeras på Windows Server 2008 och när det installeras på en domänkontrollant.A user account prefixed with AAD_ is only created during installation when installed on Windows Server 2008 and when installed on a Domain Controller.
    AnvändarkontoUser account Express och anpassad, 2017 mars och tidigareExpress and custom, 2017 March and earlier Ett lokalt konto med prefixet AAD_ skapas under installationen.A local account prefixed with AAD_ is created during installation. När du använder anpassad installation kan ett annat konto anges.When using custom installation, another account can be specified.

    Om du använder Anslut med en version från mars 2017 eller tidigare bör du inte återställa lösenordet på tjänstkontot eftersom Windows förstör krypteringsnycklarna av säkerhetsskäl.If you use Connect with a build from 2017 March or earlier, then you should not reset the password on the service account since Windows destroys the encryption keys for security reasons. Du kan inte ändra kontot till något annat konto utan att installera om Azure AD Connect.You cannot change the account to any other account without reinstalling Azure AD Connect. Om du uppgraderar till en version från april 2017 eller senare kan du ändra lösenordet för tjänstkontot, men du kan inte ändra det konto som används.If you upgrade to a build from 2017 April or later, then it is supported to change the password on the service account but you cannot change the account used.

    Viktigt

    Du kan bara ange tjänstkontot vid den första installationen.You can only set the service account on first installation. Det går inte att ändra tjänstkontot när installationen har slutförts.It is not supported to change the service account after the installation has completed.

    Det här är en tabell med standardalternativ, rekommenderade och stödda alternativ för synkroniseringstjänstkontot.This is a table of the default, recommended, and supported options for the sync service account.

    Förklaring:Legend:

    • Fetstil anger standardalternativet och i de flesta fall det rekommenderade alternativet.Bold indicates the default option and in most cases the recommended option.
    • Kursivt anger det rekommenderade alternativet när det inte är standardalternativet.Italic indicates the recommended option when it is not the default option.
    • 2008 – Standardalternativet när det är installerat på Windows Server 20082008 - Default option when installed on Windows Server 2008
    • Icke-fetstil – alternativ som stödsNon-bold - Supported option
    • Lokalt konto – lokalt användarkonto på servernLocal account - Local user account on the server
    • Domänkonto – DomänanvändarkontoDomain account - Domain user account
    • sMSA – fristående hanterat tjänstkontosMSA - standalone Managed Service account
    • gMSA – gruppkonto för hanterad tjänstgMSA - group Managed Service account
    LocalDBLocalDB
    ExpressExpress
    LocalDB/LocalSQLLocalDB/LocalSQL
    AnpassadCustom
    Fjärransluten SQLRemote SQL
    AnpassadCustom
    domän-ansluten datordomain-joined machine VsaVSA
    Lokalt konto (2008)Local account (2008)
    VsaVSA
    Lokalt konto (2008)Local account (2008)
    Lokalt kontoLocal account
    DomänkontoDomain account
    sMSA,gMSAsMSA,gMSA
    gMSAgMSA
    DomänkontoDomain account
    DomänkontrollantDomain Controller DomänkontoDomain account gMSAgMSA
    DomänkontoDomain account
    SmsasMSA
    gMSAgMSA
    DomänkontoDomain account

    Virtuellt tjänstkontoVirtual service account

    Ett virtuellt tjänstkonto är en särskild typ av konto som inte har något lösenord och som hanteras av Windows.A virtual service account is a special type of account that does not have a password and is managed by Windows.

    Skärmbild som visar det virtuella tjänstkontot (VSA).

    VSA är avsett att användas med scenarier där synkroniseringsmotorn och SQL finns på samma server.The VSA is intended to be used with scenarios where the sync engine and SQL are on the same server. Om du använder fjärransluten SQL rekommenderar vi att du använder ett grupp hanterat tjänstkonto i stället.If you use remote SQL, then we recommend to use a Group Managed Service Account instead.

    Den här funktionen kräver Windows Server 2008 R2 eller senare.This feature requires Windows Server 2008 R2 or later. Om du installerar Azure AD Connect på Windows Server 2008 används ett användarkonto i stället för installationen.If you install Azure AD Connect on Windows Server 2008, then the installation falls back to using a user account instead.

    Grupp hanterat tjänstkontoGroup managed service account

    Om du använder en fjärransluten SQL-server rekommenderar vi att du använder ett grupp hanterat tjänstkonto.If you use a remote SQL server, then we recommend to using a group managed service account. Mer information om hur du förbereder Active Directory för grupp hanterade tjänstkonton finns i Översikt över grupp hanterade tjänstkonton.For more information on how to prepare your Active Directory for Group Managed Service account, see Group Managed Service Accounts Overview.

    Om du vill använda det här alternativet går du till sidan Installera nödvändiga komponenter, väljer Använd ett befintligt tjänstkonto och väljer Hanterat tjänstkonto.To use this option, on the Install required components page, select Use an existing service account, and select Managed Service Account.
    VsaVSA
    Det finns också stöd för att använda ett fristående hanterat tjänstkonto.It is also supported to use a standalone managed service account. Dessa kan dock bara användas på den lokala datorn och det finns inga fördelar med att använda dem över det virtuella standardtjänstkontot.However, these can only be used on the local machine and there is no benefit to use them over the default virtual service account.

    Den här funktionen kräver Windows Server 2012 eller senare.This feature requires Windows Server 2012 or later. Om du behöver använda ett äldre operativsystem och använda fjärransluten SQL måste du använda ett användarkonto.If you need to use an older operating system and use remote SQL, then you must use a user account.

    AnvändarkontoUser account

    Ett lokalt tjänstkonto skapas av installationsguiden (om du inte anger det konto som ska användas i anpassade inställningar).A local service account is created by the installation wizard (unless you specify the account to use in custom settings). Kontot har prefixet AAD_ används för att den faktiska synkroniseringstjänsten ska köras som.The account is prefixed AAD_ and used for the actual sync service to run as. Om du Azure AD Connect på en domänkontrollant skapas kontot i domänen.If you install Azure AD Connect on a Domain Controller, the account is created in the domain. Det AAD_ tjänstkontot måste finnas i domänen om:The AAD_ service account must be located in the domain if:

    • du använder en fjärrserver som kör SQL Serveryou use a remote server running SQL server
    • du använder en proxyserver som kräver autentiseringyou use a proxy that requires authentication

    Synkroniseringstjänstkonto

    Kontot skapas med ett långt komplext lösenord som inte upphör att gälla.The account is created with a long complex password that does not expire.

    Det här kontot används för att lagra lösenorden för de andra kontona på ett säkert sätt.This account is used to store the passwords for the other accounts in a secure way. Dessa andra kontolösenord lagras krypterade i databasen.These other accounts passwords are stored encrypted in the database. De privata nycklarna för krypteringsnycklarna skyddas med kryptering av kryptografiska tjänster med kryptering med hemliga nycklar med hjälp av Windows Data Protection API (DPAPI).The private keys for the encryption keys are protected with the cryptographic services secret-key encryption using Windows Data Protection API (DPAPI).

    Om du använder en fullständig SQL Server är tjänstkontot DBO för den skapade databasen för synkroniseringsmotorn.If you use a full SQL Server, then the service account is the DBO of the created database for the sync engine. Tjänsten fungerar inte som avsett med andra behörigheter.The service will not function as intended with any other permissions. En SQL-inloggning skapas också.A SQL login is also created.

    Kontot beviljas också behörigheter till filer, registernycklar och andra objekt som är relaterade till synkroniseringsmotorn.The account is also granted permissions to files, registry keys, and other objects related to the Sync Engine.

    Azure AD Connector-kontoAzure AD Connector account

    Ett konto i Azure AD skapas för synkroniseringstjänstens användning.An account in Azure AD is created for the sync service's use. Det här kontot kan identifieras med dess visningsnamn.This account can be identified by its display name.

    Skärmbild som visar Azure AD-kontot.

    Namnet på servern som kontot används på kan identifieras i den andra delen av användarnamnet.The name of the server the account is used on can be identified in the second part of the user name. På bilden är servernamnet DC1.In the picture, the server name is DC1. Om du har mellanlagringsservrar har varje server ett eget konto.If you have staging servers, each server has its own account.

    Kontot skapas med ett långt komplext lösenord som inte upphör att gälla.The account is created with a long complex password that does not expire. Den beviljas en särskild roll Katalogsynkroniseringskonton som endast har behörighet att utföra katalogsynkroniseringsuppgifter.It is granted a special role Directory Synchronization Accounts that has only permissions to perform directory synchronization tasks. Den här särskilda inbyggda rollen kan inte beviljas utanför Azure AD Connect guiden.This special built-in role cannot be granted outside of the Azure AD Connect wizard. Den Azure Portal visar det här kontot med rollen Användare.The Azure portal shows this account with the role User.

    Det finns en gräns på 20 synkroniseringstjänstkonton i Azure AD.There is a limit of 20 sync service accounts in Azure AD. Kör följande Azure AD PowerShell-cmdlet för att hämta listan över befintliga Azure AD-tjänstkonton i Azure AD: Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMemberTo get the list of existing Azure AD service accounts in your Azure AD, run the following Azure AD PowerShell cmdlet: Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMember

    Om du vill ta bort oanvända Azure AD-tjänstkonton kör du följande Azure AD PowerShell-cmdlet: Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove>To remove unused Azure AD service accounts, run the following Azure AD PowerShell cmdlet: Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove>

    Anteckning

    Innan du kan använda ovanstående PowerShell-kommandon måste du installera Azure Active Directory PowerShell för Graph-modulen och ansluta till din instans av Azure AD med Connect-AzureADBefore you can use the above PowerShell commands you will need to install the Azure Active Directory PowerShell for Graph module and connect to your instance of Azure AD using Connect-AzureAD

    Mer information om hur du hanterar eller återställer lösenordet för Azure AD Connector-kontot finns i Hantera Azure AD Connect kontoFor additional information on how to manage or reset the password for the Azure AD Connector account see Manage the Azure AD Connect account

    Om du inte har läst dokumentationen om att integrera dina lokala identiteter med Azure Active Directoryinnehåller följande tabell länkar till relaterade ämnen.If you did not read the documentation on Integrating your on-premises identities with Azure Active Directory, the following table provides links to related topics.

    AvsnittTopic LänkLink
    Ladda ned Azure AD ConnectDownload Azure AD Connect Ladda ned Azure AD ConnectDownload Azure AD Connect
    Installera med standardinställningarInstall using Express settings Snabbinstallation av Azure AD ConnectExpress installation of Azure AD Connect
    Installera med anpassade inställningarInstall using Customized settings Anpassad installation av Azure AD ConnectCustom installation of Azure AD Connect
    Uppgradera från DirSyncUpgrade from DirSync Uppgradera från Azure AD-synkroniseringsverktyget (DirSync)Upgrade from Azure AD sync tool (DirSync)
    Efter installationenAfter installation Verifiera installationen och tilldela licenserVerify the installation and assign licenses

    Nästa stegNext steps

    Läs mer om hur du integrerar dina lokala identiteter med Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.