Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Dokument werden die gMSA-PowerShell-Cmdlets für den Agent für die Microsoft Entra Connect-Cloudbereitstellung beschrieben. Diese Cmdlets ermöglichen Ihnen eine detailliertere Kontrolle der Berechtigungen, die auf das gruppenverwaltete Dienstkonto (gMSA, group Managed Service Account) angewendet werden. Standardmäßig wendet die Microsoft Entra-Cloudsynchronisierung beim Installieren des Cloudbereitstellungsagenten alle Berechtigungen ähnlich wie Microsoft Entra Connect auf das Standard-gMSA oder ein benutzerdefiniertes gMSA an.
Dieses Dokument behandelt die folgenden Cmdlets:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
So verwenden Sie die Cmdlets:
Die folgenden Voraussetzungen müssen erfüllt sein, um diese Cmdlets zu verwenden.
Installieren Sie den Bereitstellungs-Agent.
Importieren Sie das PowerShell-Modul für den Bereitstellungs-Agent in eine PowerShell-Sitzung.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Diese Cmdlets erfordern einen Parameter namens
Credential, der übergeben werden kann, oder der Benutzer wird aufgefordert, ihn einzugeben, wenn er nicht in der Befehlszeile angegeben ist. Abhängig von der verwendeten Cmdlet-Syntax müssen diese Zugangsdaten ein Enterprise-Administrator-Konto oder zumindest ein Domänenadministrator der Zieldomäne sein, in der Sie die Berechtigungen festlegen.So erstellen Sie eine Variable für Anmeldeinformationen:
$credential = Get-CredentialSie können das folgende Cmdlet verwenden, um Active Directory-Berechtigungen für den Cloudbereitstellungs-Agenten festzulegen. Dadurch werden Berechtigungen im Stammverzeichnis der Domäne gewährt, sodass das Dienstkonto lokale Active Directory-Objekte verwalten kann. Beispiele zum Festlegen der Berechtigungen finden Sie unten unter Verwenden von Set-AADCloudSyncPermissions.
Set-AADCloudSyncPermissions -EACredential $credentialUm Active Directory-Berechtigungen einzuschränken, die standardmäßig auf dem Cloudbereitstellungs-Agent-Konto festgelegt sind, können Sie das folgende Cmdlet verwenden. Dadurch wird die Sicherheit des Dienstkontos erhöht, indem die Berechtigungsvererbung deaktiviert und alle vorhandenen Berechtigungen entfernt werden, mit Ausnahme der Berechtigungen SELF und Vollzugriff für Administratoren. Beispiele für das Einschränken der Berechtigungen finden Sie unten unter Verwenden von Set-AADCloudSyncRestrictedPermission.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Verwenden von Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions unterstützt die folgenden Berechtigungstypen, die mit den von Azure AD Connect Classic Sync (ADSync) verwendeten Berechtigungen identisch sind. Die folgenden Berechtigungstypen werden unterstützt:
| Berechtigungstyp | Beschreibung |
|---|---|
| BasicRead | Siehe BasicRead-Berechtigungen für Microsoft Entra Connect |
| PasswordHashSync | Siehe PasswordHashSync-Berechtigungen für Microsoft Entra Connect |
| Kennwortzurückschreiben | Siehe PasswordWriteBack-Berechtigungen für Microsoft Entra Connect |
| HybridExchangePermissions | Siehe HybridExchangePermissions-Berechtigungen für Microsoft Entra Connect |
| ExchangeMailPublicFolderPermissions | Siehe ExchangeMailPublicFolderPermissions-Berechtigungen für Microsoft Entra Connect |
| BenutzergruppeErstellenLöschen | Berechtigungen für die Gruppenbereitstellung der Microsoft Entra-Cloudsynchronisierung in AD. Dabei wird „Benutzerobjekte erstellen/löschen“ auf „Dieses und alle untergeordneten Objekte“ sowie „Gruppenobjekte erstellen/löschen“ auf „Dieses und alle untergeordneten Objekte“ angewendet. |
| Alle | Wendet alle obigen Berechtigungen an. |
Sie können AADCloudSyncPermissions-Berechtigungen auf eine von zwei Arten verwenden:
- Gewähren von Berechtigungen für alle konfigurierten Domänen
- Gewähren von Berechtigungen für eine bestimmte Domäne
Gewähren von Berechtigungen für alle konfigurierten Domänen
Die Gewährung bestimmter Berechtigungen für alle konfigurierten Domänen erfordert die Verwendung eines Unternehmensadministratorkontos.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Gewähren von Berechtigungen für eine bestimmte Domäne
Die Gewährung bestimmter Berechtigungen für eine bestimmte Domäne erfordert die Verwendung eines TargetDomainCredential, das ein Unternehmensadministrator oder Domänenadministrator der Zieldomäne ist. Zuvor muss allerdings die TargetDomain (Zieldomäne) über den Assistenten konfiguriert werden.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of ___domain" -TargetDomainCredential $credential
Verwenden von Set-AADCloudSyncRestrictedPermissions
Für zusätzliche Sicherheit werden die Berechtigungen für das Konto des Cloudbereitstellungsagents selbst mit Set-AADCloudSyncRestrictedPermissions verfeinert. Zur Härtung der Berechtigungen für das Cloudbereitstellungs-Agent-Konto nehmen Sie die folgenden Änderungen vor:
Vererbung deaktivieren
Entfernen Sie alle Standardberechtigungen, außer ACEs, die speziell für SELF gelten.
Richten Sie uneingeschränkte Zugriffsberechtigungen für SYSTEM, Administratoren, Domänenadministratoren und Enterprise-Administratoren ein.
Legen Sie Leseberechtigungen für authentifizierte Benutzer und Enterprise-Domänencontroller fest.
Über den Parameter „-Credential“ müssen Sie das Administratorkonto angeben, das die erforderlichen Berechtigungen besitzt, um Active Directory-Berechtigungen für das Konto des Cloudbereitstellungsagents einzuschränken. Dies ist normalerweise der Unternehmens- oder Domänenadministrator.
Beispiel:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential