Azure AD Connect:ADSyncConfig PowerShell 参考

以下文档提供了 Azure AD Connect 附带的 ADSyncConfig.psm1 PowerShell 模块的参考信息。

Get-ADSyncADConnectorAccount

摘要

获取在每个 AD Connector 中配置的帐户名和域

语法

Get-ADSyncADConnectorAccount

说明

此函数使用 AAD Connect 中显示的“Get-ADSyncConnector”cmdlet 从连接参数中检索显示 AD Connector 帐户的表。

示例

示例 1

Get-ADSyncADConnectorAccount

Get-ADSyncObjectsWithInheritanceDisabled

摘要

获得已禁用权限继承的 AD 对象

语法

Get-ADSyncObjectsWithInheritanceDisabled [-SearchBase] <String> [[-ObjectClass] <String>] [<CommonParameters>]

说明

从 SearchBase 参数开始在 AD 中搜索并返回按 ObjectClass 参数筛选的所有对象,这些对象具有当前禁用的 ACL 继承。

示例

示例 1

Find objects with disabled inheritance in 'Contoso' domain (by default returns 'organizationalUnit' objects only)

Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso'

示例 2

Find 'user' objects with disabled inheritance in 'Contoso' domain

Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso' -ObjectClass 'user'

示例 3

Find all types of objects with disabled inheritance in a OU

Get-ADSyncObjectsWithInheritanceDisabled -SearchBase OU=AzureAD,DC=Contoso,DC=com -ObjectClass '*'

参数

-SearchBase

可以是 AD 域 DistinguishedName 或 FQDN 的 LDAP 查询的 SearchBase

Type: String
Parameter Sets: (All)
Aliases:

Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ObjectClass

要搜索的对象类,可以是“*”(适用于任何对象类)、“user”、“group”、“container”等。默认情况下,此函数将搜索“organizationalUnit”对象类。

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: 2
Default value: OrganizationalUnit
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。

Set-ADSyncBasicReadPermissions

摘要

初始化 Active Directory 林和域以获取基本读取权限。

语法

UserDomain

Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
 [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncBasicReadPermissions 函数将为 AD 同步帐户提供所需的权限,其中包括以下内容: 1. 读取所有后代计算机对象的所有属性的属性访问权限 2. 读取所有后代设备对象的所有属性的属性访问权限 3. 读取所有后代 foreignsecurityprincipal 对象的所有属性的属性访问权限 5. 读取所有后代用户对象的所有属性的属性访问权限 6. 读取所有后代 inetorgperson 对象的所有属性的属性访问权限 7. 读取所有后代组对象的所有属性的属性访问权限 8. 读取所有后代联系人对象的所有属性的属性访问权限

这些权限适用于林中的所有域。 (可选)可在 ADobjectDN 参数中提供 DistinguishedName,以仅在该 AD 对象上设置这些权限(包括对子对象的继承)。

示例

示例 1

Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

示例 2

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

示例 3

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

示例 4

Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

参数

-ADConnectorAccountName

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的名称。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

用于设置权限的目标 AD 对象的 DistinguishedName(可选)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

可选参数,指示是否不应使用这些权限更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。

Set-ADSyncExchangeHybridPermissions

摘要

初始化 Active Directory 林和域以获取 Exchange 混合功能。

语法

UserDomain

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
 [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncExchangeHybridPermissions 函数将为 AD 同步帐户提供所需的权限,其中包括以下内容: 1. 读取/写入所有后代用户对象的所有属性的属性访问权限 2. 读取/写入所有后代 inetorgperson 对象的所有属性的属性访问权限 3. 读取/写入所有后代组对象的所有属性的属性访问权限 4. 读取/写入所有后代联系人对象的所有属性的属性访问权限

这些权限适用于林中的所有域。 (可选)可在 ADobjectDN 参数中提供 DistinguishedName,以仅在该 AD 对象上设置这些权限(包括对子对象的继承)。

示例

示例 1

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

示例 2

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

示例 3

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

示例 4

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

参数

-ADConnectorAccountName

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的名称。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

用于设置权限的目标 AD 对象的 DistinguishedName(可选)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

可选参数,指示是否不应使用这些权限更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。

Set-ADSyncExchangeMailPublicFolderPermissions

摘要

初始化 Active Directory 林和域以获取 Exchange 邮件公用文件夹。

语法

UserDomain

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String>
 -ADConnectorAccountDomain <String> [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm]
 [<CommonParameters>]

DistinguishedName

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncExchangeMailPublicFolderPermissions 函数将为 AD 同步帐户提供所需的权限,其中包括以下内容: 1. 读取所有后代 publicfolder 对象的所有属性的属性访问权限

这些权限适用于林中的所有域。 (可选)可在 ADobjectDN 参数中提供 DistinguishedName,以仅在该 AD 对象上设置这些权限(包括对子对象的继承)。

示例

示例 1

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

示例 2

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

示例 3

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

示例 4

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

参数

-ADConnectorAccountName

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的名称。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

用于设置权限的目标 AD 对象的 DistinguishedName(可选)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

可选参数,指示是否不应使用这些权限更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。

Set-ADSyncMsDsConsistencyGuidPermissions

摘要

初始化 Active Directory 林和域以获取 mS-DS-ConsistencyGuid 功能。

语法

UserDomain

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncMsDsConsistencyGuidPermissions 函数将为 AD 同步帐户提供所需的权限,其中包括以下内容: 1. 读取/写入所有后代用户对象的 mS-DS-ConsistencyGuid 属性的属性访问权限

这些权限适用于林中的所有域。 (可选)可在 ADobjectDN 参数中提供 DistinguishedName,以仅在该 AD 对象上设置这些权限(包括对子对象的继承)。

示例

示例 1

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

示例 2

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

示例 3

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

示例 4

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

参数

-ADConnectorAccountName

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的名称。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

用于设置权限的目标 AD 对象的 DistinguishedName(可选)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

可选参数,指示是否不应使用这些权限更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。

Set-ADSyncPasswordHashSyncPermissions

摘要

初始化 Active Directory 林和域以获取密码哈希同步。

语法

UserDomain

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncPasswordHashSyncPermissions 函数将为 AD 同步帐户提供所需的权限,其中包括以下内容: 1. 复制目录更改 2. 复制所有目录更改

这些权限将授予给林中的所有域。

示例

示例 1

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

示例 2

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

参数

-ADConnectorAccountName

将被 Azure AD Connect 同步用来管理目录中的对象的 Active Directory 帐户的名称。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

将被 Azure AD Connect 同步用来管理目录中的对象的 Active Directory 帐户的域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

将被 Azure AD Connect 同步用来管理目录中的对象的 Active Directory 帐户的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。

Set-ADSyncPasswordWritebackPermissions

摘要

初始化 Active Directory 林和域以从 Azure AD 进行密码回写。

语法

UserDomain

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncPasswordWritebackPermissions 函数将为 AD 同步帐户提供所需的权限,其中包括以下内容: 1. 重置后代用户对象的密码 2. 写入所有后代用户对象的 lockoutTime 属性的属性访问权限 3. 写入所有后代用户对象的 pwdLastSet 属性的属性访问权限

这些权限适用于林中的所有域。 (可选)可在 ADobjectDN 参数中提供 DistinguishedName,以仅在该 AD 对象上设置这些权限(包括对子对象的继承)。

示例

示例 1

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

示例 2

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

示例 3

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

示例 4

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

参数

-ADConnectorAccountName

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的名称。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Azure AD Connect 同步现在或将来用其管理目录对象的 Active Directory 帐户的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

用于设置权限的目标 AD 对象的 DistinguishedName(可选)

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

可选参数,指示是否不应使用这些权限更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。

Set-ADSyncRestrictedPermissions

摘要

加强 AD 对象的权限,否则该对象不包含在任何受 AD 保护的安全组中。 典型示例是由 AAD Connect 自动创建的 AD Connect 帐户 (MSOL)。 此帐户具有所有域的复制权限,但由于不受保护,因此很容易受到入侵。

语法

Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential>
 [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncRestrictedPermissions 函数将增强所提供帐户的权限。 限制权限操作包括以下步骤: 1. 禁用指定对象上的继承 2. 删除特定对象上的所有 ACE,但特定于 SELF 的 ACE 除外。 我们希望在处理 SELF 时默认权限保持不变。 3. 分配以下特定权限:

    Type    Name                                        Access              Applies To
    =============================================================================================
    Allow   SYSTEM                                      Full Control        This object
    Allow   Enterprise Admins                           Full Control        This object
    Allow   Domain Admins                               Full Control        This object
    Allow   Administrators                              Full Control        This object

    Allow   Enterprise Domain Controllers               List Contents
                                                        Read All Properties
                                                        Read Permissions    This object

    Allow   Authenticated Users                         List Contents
                                                        Read All Properties
                                                        Read Permissions    This object

示例

示例 1

Set-ADSyncRestrictedPermissions -ADConnectorAccountDN "CN=TestAccount1,CN=Users,DC=Contoso,DC=com" -Credential $(Get-Credential)

参数

-ADConnectorAccountDN

需要加强其权限的 Active Directory 帐户的 DistinguishedName。 这通常是 MSOL_nnnnnnnnnn 帐户或 AD Connector 中配置的自定义域帐户。

Type: String
Parameter Sets: (All)
Aliases:

Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Credential

管理员凭据,拥有限制 ADConnectorAccountDN 帐户权限的必要特权。 这通常是企业管理员或域管理员。 使用管理员帐户的完全限定域名来避免帐户查找失败。 示例:CONTOSO\admin

Type: PSCredential
Parameter Sets: (All)
Aliases:

Required: True
Position: 2
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-DisableCredentialValidation

使用 DisableCredentialValidation 时,该函数不会检查 -Credential 中提供的凭据在 AD 中是否有效以及所提供的帐户是否具有必要的特权来限制 ADConnectorAccountDN 帐户权限。

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。

Show-ADSyncADObjectPermissions

摘要

显示指定 AD 对象的权限。

语法

Show-ADSyncADObjectPermissions [-ADobjectDN] <String> [<CommonParameters>]

说明

此函数返回当前为参数 -ADobjectDN 中提供的给定 AD 对象设置的所有 AD 权限。 ADobjectDN 必须以 DistinguishedName 格式提供。

示例

示例 1

Show-ADSyncADObjectPermissions -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

参数

-ADobjectDN

{{填写 ADobjectDN 说明}}

Type: String
Parameter Sets: (All)
Aliases:

Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。