本文档的目的是介绍 Microsoft Entra Connect 云预配代理 gMSA PowerShell cmdlet。 通过这些 cmdlet,可以更精细地了解在服务帐户(gMSA)上应用的权限。 默认情况下,Microsoft Entra Cloud Sync 在云预配代理安装期间,在默认 gMSA 或自定义 gMSA 上应用类似于 Microsoft Entra Connect 的所有权限。
本文档介绍以下 cmdlet:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
如何使用 cmdlet:
使用这些 cmdlet 需要满足以下先决条件。
安装预配代理。
将预配代理 PowerShell 模块导入 PowerShell 会话。
Import-Module "C:\Program Files\Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"这些 cmdlets 需要一个名为
Credential的参数,可以在命令行中传递该参数,或者如果没有提供,将提示用户输入。 根据所使用的 cmdlet 语法,这些凭据必须是企业管理员帐户,或者至少是设置权限的目标域的域管理员。若要为凭据创建变量,请使用:
$credential = Get-Credential若要为云预配代理设置 Active Directory 权限,可以使用以下 cmdlet。 这会授予域根目录中的权限,允许服务帐户管理本地 Active Directory 对象。 有关设置权限的示例,请参阅下面的 使用 Set-AADCloudSyncPermissions 。
Set-AADCloudSyncPermissions -EACredential $credential若要限制默认在云预配代理帐户上设置的 Active Directory 权限,可以使用以下 cmdlet。 这可以通过禁用权限继承和删除除管理员的 SELF 和完全控制之外的所有现有权限来提高服务帐户安全性。 若想了解限制权限的示例,请参阅下面的 使用 Set-AADCloudSyncRestrictedPermission 。
Set-AADCloudSyncRestrictedPermission -Credential $credential
使用 Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions 支持以下权限类型,这些权限类型与 Azure AD Connect 经典同步(ADSync)使用的权限相同。 支持以下权限类型:
| 权限类型 | 说明 |
|---|---|
| BasicRead | 请参阅 Microsoft Entra Connect 的 BasicRead 权限 |
| 密码哈希同步 | 请参阅 Microsoft Entra Connect 的 PasswordHashSync 权限 |
| PasswordWriteBack(密码回写) | 请参阅 Microsoft Entra Connect 的 PasswordWriteBack 权限 |
| HybridExchangePermissions | 请参阅 Microsoft Entra Connect HybridExchangePermissions 权限 |
| Exchange 邮件公共文件夹权限 | 有关 Microsoft Entra Connect,请参阅 ExchangeMailPublicFolderPermissions 权限 |
| 用户组创建删除 | Microsoft Entra Cloud Sync 的组预配到 AD 的权限。 对“此对象和所有后代对象”应用“创建/删除用户对象”,并将“创建/删除组对象”应用于“此对象和所有后代对象” |
| 全部 | 应用上述所有权限 |
可以通过以下两种方式之一使用 AADCloudSyncPermissions:
向所有配置的域授予权限
向所有配置的域授予某些权限需要使用企业管理员帐户。
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
向特定域授予权限
向特定域授予某些权限需要使用作为企业管理员或目标域的域管理员的 TargetDomainCredential。 在使用之前,TargetDomain 必须已经通过向导完成配置。
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
使用 Set-AADCloudSyncRestrictedPermissions
为了提高安全性,Set-AADCloudSyncRestrictedPermissions 会调整云预配代理帐户本身的权限设置。 强化云预配代理帐户的权限涉及以下更改:
禁用继承
删除除特定于 SELF 的 ACE 之外的所有默认权限。
为 SYSTEM、管理员、域管理员和企业管理员设置完全控制权限。
为经过身份验证的用户和企业域控制器设置读取权限。
-Credential 参数是指定具有限制云预配代理帐户上 Active Directory 权限的必要权限的管理员帐户所必需的。 这通常是域或企业管理员。
例如:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential