Microsoft Entra Connect：ADSyncConfig PowerShell 参考

项目
06/19/2024

以下文档提供了 Microsoft Entra Connect 附带的 ADSyncConfig.psm1 PowerShell 模块的参考信息。

Get-ADSyncADConnectorAccount

摘要

获取在每个 AD Connector 中配置的帐户名和域

SYNTAX

Get-ADSyncADConnectorAccount

DESCRIPTION

此函数使用 Microsoft Entra Connect 中显示的“Get-ADSyncConnector”cmdlet 从连接参数中检索显示 AD Connector 帐户的表。

示例

示例 1

Get-ADSyncADConnectorAccount

Get-ADSyncObjectsWithInheritanceDisabled

摘要

获得已禁用权限继承的 AD 对象

SYNTAX

Get-ADSyncObjectsWithInheritanceDisabled [-SearchBase] <String> [[-ObjectClass] <String>] [<CommonParameters>]

说明

从 SearchBase 参数开始在 AD 中搜索并返回按 ObjectClass 参数筛选的所有对象，这些对象具有当前禁用的 ACL 继承。

示例

示例 1

在“Contoso”域中查找已禁用继承的对象（默认情况下仅返回“organizationalUnit”对象）

Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso'

示例 2

在“Contoso”域中查找具有禁用继承的“user”对象

Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso' -ObjectClass 'user'

示例 3

在 OU 中查找具有禁用继承的所有类型的对象

Get-ADSyncObjectsWithInheritanceDisabled -SearchBase OU=AzureAD,DC=Contoso,DC=com -ObjectClass '*'

PARAMETERS

-SearchBase

可以是 AD 域 DistinguishedName 或 FQDN 的 LDAP 查询的 SearchBase

Type: String
Parameter Sets: (All)
Aliases:

Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ObjectClass

要搜索的对象类，可以是“*”（表示任何对象类）、“user”、“group”、“container”等。默认情况下，此函数将搜索“organizationalUnit”对象类。

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: 2
Default value: OrganizationalUnit
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

此 cmdlet 支持以下常见参数：-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。有关详细信息，请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。

Set-ADSyncBasicReadPermissions

摘要

初始化 Active Directory 林和域以获取基本读取权限。

SYNTAX

UserDomain

Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
 [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncBasicReadPermissions 函数将授予 AD 同步帐户所需的权限，其中包括以下内容：1. 对所有后代 computer 对象的所有属性的读取属性访问权限 2. 对所有后代 device 对象的所有属性的读取属性访问权限 3. 对所有后代 foreignsecurityprincipal 对象的所有属性的读取属性访问权限 5. 对所有后代 user 对象的所有属性的读取属性访问权限 6. 对所有后代 inetorgperson 对象的所有属性的读取属性访问权限 7. 对所有后代 group 对象的所有属性的读取属性访问权限 8. 对所有后代 contact 对象的所有属性的读取属性访问权限

这些权限适用于林中的所有域。（可选）可在 ADobjectDN 参数中提供 DistinguishedName，以仅在该 AD 对象上设置这些权限（包括对子对象的继承）。

示例

示例 1

Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

示例 2

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

示例 3

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

示例 4

Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的名称。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

用于设置权限的目标 AD 对象的 DistinguishedName（可选）

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

可选参数，指示是否不应使用这些权限更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Set-ADSyncExchangeHybridPermissions

摘要

初始化 Active Directory 林和域以获取 Exchange 混合功能。

SYNTAX

UserDomain

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
 [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncExchangeHybridPermissions 函数将为 AD 同步帐户提供所需的权限，其中包括以下内容：1. 对所有后代 user 对象的读/写属性访问权限 2. 对所有后代 inetorgperson 对象的读/写属性访问权限 3. 对所有后代 group 对象的读/写属性访问权限 4. 对所有后代 contact 对象的读/写属性访问权限

这些权限适用于林中的所有域。（可选）可在 ADobjectDN 参数中提供 DistinguishedName，以仅在该 AD 对象上设置这些权限（包括对子对象的继承）。

示例

示例 1

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

示例 2

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

示例 3

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

示例 4

Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的名称。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

用于设置权限的目标 AD 对象的 DistinguishedName（可选）

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

可选参数，指示是否不应使用这些权限更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Set-ADSyncExchangeMailPublicFolderPermissions

摘要

初始化 Active Directory 林和域以获取 Exchange 邮件公用文件夹。

SYNTAX

UserDomain

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String>
 -ADConnectorAccountDomain <String> [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm]
 [<CommonParameters>]

DistinguishedName

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncExchangeMailPublicFolderPermissions 函数将为 AD 同步帐户提供所需的权限，其中包括以下内容：1. 对所有后代 publicfolder 对象的所有属性的读取属性访问权限

这些权限适用于林中的所有域。（可选）可在 ADobjectDN 参数中提供 DistinguishedName，以仅在该 AD 对象上设置这些权限（包括对子对象的继承）。

示例

示例 1

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

示例 2

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

示例 3

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

示例 4

Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的名称。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

用于设置权限的目标 AD 对象的 DistinguishedName（可选）

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

可选参数，指示是否不应使用这些权限更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Set-ADSyncMsDsConsistencyGuidPermissions

摘要

初始化 Active Directory 林和域以获取 mS-DS-ConsistencyGuid 功能。

SYNTAX

UserDomain

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncMsDsConsistencyGuidPermissions 函数将为 AD 同步帐户提供所需的权限，其中包括以下内容：1. 对所有后代 user 对象的 mS-DS-ConsistencyGuid 属性的读/写属性访问权限

这些权限适用于林中的所有域。（可选）可在 ADobjectDN 参数中提供 DistinguishedName，以仅在该 AD 对象上设置这些权限（包括对子对象的继承）。

示例

示例 1

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

示例 2

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

示例 3

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

示例 4

Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的名称。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

用于设置权限的目标 AD 对象的 DistinguishedName（可选）

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

可选参数，指示是否不应使用这些权限更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Set-ADSyncPasswordHashSyncPermissions

摘要

初始化 Active Directory 林和域以获取密码哈希同步。

SYNTAX

UserDomain

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncPasswordHashSyncPermissions 函数将为 AD 同步帐户提供所需的权限，其中包括以下内容：1. 复制目录更改 2. 复制目录全部更改

这些权限将授予给林中的所有域。

示例

示例 1

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

示例 2

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Microsoft Entra Connect Sync 将来用于管理目录中的对象的 Active Directory 帐户的名称。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Microsoft Entra Connect Sync 将来用于管理目录中的对象的 Active Directory 帐户的域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Microsoft Entra Connect Sync 将来用于管理目录中的对象的 Active Directory 帐户的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Set-ADSyncPasswordWritebackPermissions

摘要

初始化 Active Directory 林和域以从 Microsoft Entra ID 进行密码写回。

SYNTAX

UserDomain

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncPasswordWritebackPermissions 函数将为 AD 同步帐户提供所需的权限，其中包括以下内容：1. 对后代 user 对象的重置密码权限 2. 对所有后代 user 对象的 lockoutTime 属性的写入属性访问权限 3. 对所有后代 user 对象的 pwdLastSet 属性的写入属性访问权限

这些权限适用于林中的所有域。（可选）可在 ADobjectDN 参数中提供 DistinguishedName，以仅在该 AD 对象上设置这些权限（包括对子对象的继承）。

示例

示例 1

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

示例 2

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

示例 3

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

示例 4

Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的名称。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

用于设置权限的目标 AD 对象的 DistinguishedName（可选）

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

可选参数，指示是否不应使用这些权限更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Set-ADSyncRestrictedPermissions

摘要

加强 AD 对象的权限，否则该对象不包含在任何受 AD 保护的安全组中。典型示例是由 Microsoft Entra Connect 自动创建的 AD Connect 帐户 (MSOL)。此帐户具有所有域的复制权限，但由于不受保护，因此很容易受到入侵。

SYNTAX

Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential>
 [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncRestrictedPermissions 函数将增强所提供帐户的权限。限制权限操作包括以下步骤：

在指定对象上禁用继承
删除特定对象上的所有 ACE，但特定于 SELF 的 ACE 除外。我们希望在处理 SELF 时默认权限保持不变。

分配以下特定权限：

类型	名称	访问	应用于
允许	SYSTEM	完全控制	此对象
允许	企业管理员	完全控制	此对象
允许	域管理员	完全控制	此对象
允许	管理员	完全控制	此对象
允许	企业域控制器	列出内容读取所有属性读取权限	此对象
允许	经过身份验证的用户	列出内容读取所有属性读取权限	此对象

示例

示例 1

Set-ADSyncRestrictedPermissions -ADConnectorAccountDN "CN=TestAccount1,CN=Users,DC=Contoso,DC=com" -Credential $(Get-Credential)

PARAMETERS

-ADConnectorAccountDN

需要加强其权限的 Active Directory 帐户的 DistinguishedName。这通常是 MSOL_nnnnnnnnnn 帐户或 AD Connector 中配置的自定义域帐户。

Type: String
Parameter Sets: (All)
Aliases:

Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Credential

管理员凭据，拥有限制 ADConnectorAccountDN 帐户权限的必要特权。这通常是企业管理员或域管理员。使用管理员帐户的完全限定域名来避免帐户查找失败。示例：CONTOSO\admin

Type: PSCredential
Parameter Sets: (All)
Aliases:

Required: True
Position: 2
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-DisableCredentialValidation

使用 DisableCredentialValidation 时，该函数不会检查 -Credential 中提供的凭据在 AD 中是否有效以及所提供的帐户是否具有必要的特权来限制 ADConnectorAccountDN 帐户权限。

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Set-ADSyncUnifiedGroupWritebackPermissions

摘要

初始化 Active Directory 林和域以从 Microsoft Entra ID 进行组写回。

SYNTAX

UserDomain

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
 [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

DistinguishedName

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
 [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]

说明

Set-ADSyncUnifiedGroupWritebackPermissions 函数将为 AD 同步帐户提供所需的权限，其中包括以下内容：1. 对所有组对象类型和子对象的通用读/写、删除、删除树和创建\删除子对象权限

这些权限适用于林中的所有域。（可选）可在 ADobjectDN 参数中提供 DistinguishedName，以仅在该 AD 对象上设置这些权限（包括对子对象的继承）。在这种情况下，ADobjectDN 将是与 GroupWriteback 功能链接的所需容器的专有名称。

示例

示例 1

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'

示例 2

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'

示例 3

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders

示例 4

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADConnectorAccountName

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的名称。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDomain

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的域。

Type: String
Parameter Sets: UserDomain
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADConnectorAccountDN

Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的 DistinguishedName。

Type: String
Parameter Sets: DistinguishedName
Aliases:

Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-ADobjectDN

用于设置权限的目标 AD 对象的 DistinguishedName（可选）

Type: String
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-SkipAdminSdHolders

可选参数，指示是否不应使用这些权限更新 AdminSDHolder 容器

Type: SwitchParameter
Parameter Sets: (All)
Aliases:

Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf

Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

CommonParameters

Show-ADSyncADObjectPermissions

摘要

显示指定 AD 对象的权限。

SYNTAX

Show-ADSyncADObjectPermissions [-ADobjectDN] <String> [<CommonParameters>]

说明

此函数返回当前为参数 -ADobjectDN 中提供的给定 AD 对象设置的所有 AD 权限。 ADobjectDN 必须以 DistinguishedName 格式提供。

示例

示例 1

Show-ADSyncADObjectPermissions -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'

PARAMETERS

-ADobjectDN

Type: String
Parameter Sets: (All)
Aliases:

Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

通过

Microsoft Entra Connect：ADSyncConfig PowerShell 参考

Get-ADSyncADConnectorAccount

摘要

SYNTAX

DESCRIPTION

示例

示例 1

Get-ADSyncObjectsWithInheritanceDisabled

摘要

SYNTAX

说明

示例

示例 1

示例 2

示例 3

PARAMETERS

-SearchBase

-ObjectClass

CommonParameters

Set-ADSyncBasicReadPermissions

摘要

SYNTAX

UserDomain

DistinguishedName

说明

示例

示例 1

示例 2

示例 3

示例 4

PARAMETERS

-ADConnectorAccountName

-ADConnectorAccountDomain

-ADConnectorAccountDN

-ADobjectDN

-SkipAdminSdHolders

-WhatIf

-Confirm

CommonParameters

Set-ADSyncExchangeHybridPermissions

摘要

SYNTAX

UserDomain

DistinguishedName

说明

示例

示例 1

示例 2

示例 3

示例 4

PARAMETERS

-ADConnectorAccountName

-ADConnectorAccountDomain

-ADConnectorAccountDN

-ADobjectDN

-SkipAdminSdHolders

-WhatIf

-Confirm

CommonParameters

Set-ADSyncExchangeMailPublicFolderPermissions

摘要

SYNTAX

UserDomain

DistinguishedName

说明

示例

示例 1

示例 2

示例 3

示例 4

PARAMETERS

-ADConnectorAccountName

-ADConnectorAccountDomain

-ADConnectorAccountDN

-ADobjectDN

-SkipAdminSdHolders

-WhatIf

-Confirm

CommonParameters