Microsoft Entra Connect:ADSyncConfig PowerShell 参考
以下文档提供了 Microsoft Entra Connect 附带的 ADSyncConfig.psm1
PowerShell 模块的参考信息。
Get-ADSyncADConnectorAccount
摘要
获取在每个 AD Connector 中配置的帐户名和域
SYNTAX
Get-ADSyncADConnectorAccount
DESCRIPTION
此函数使用 Microsoft Entra Connect 中显示的“Get-ADSyncConnector”cmdlet 从连接参数中检索显示 AD Connector 帐户的表。
示例
示例 1
Get-ADSyncADConnectorAccount
Get-ADSyncObjectsWithInheritanceDisabled
摘要
获得已禁用权限继承的 AD 对象
SYNTAX
Get-ADSyncObjectsWithInheritanceDisabled [-SearchBase] <String> [[-ObjectClass] <String>] [<CommonParameters>]
说明
从 SearchBase 参数开始在 AD 中搜索并返回按 ObjectClass 参数筛选的所有对象,这些对象具有当前禁用的 ACL 继承。
示例
示例 1
在“Contoso”域中查找已禁用继承的对象(默认情况下仅返回“organizationalUnit”对象)
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso'
示例 2
在“Contoso”域中查找具有禁用继承的“user”对象
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase 'Contoso' -ObjectClass 'user'
示例 3
在 OU 中查找具有禁用继承的所有类型的对象
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase OU=AzureAD,DC=Contoso,DC=com -ObjectClass '*'
PARAMETERS
-SearchBase
可以是 AD 域 DistinguishedName 或 FQDN 的 LDAP 查询的 SearchBase
Type: String
Parameter Sets: (All)
Aliases:
Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ObjectClass
要搜索的对象类,可以是“*”(表示任何对象类)、“user”、“group”、“container”等。 默认情况下,此函数将搜索“organizationalUnit”对象类。
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: 2
Default value: OrganizationalUnit
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncBasicReadPermissions
摘要
初始化 Active Directory 林和域以获取基本读取权限。
SYNTAX
UserDomain
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
[-WhatIf] [-Confirm] [<CommonParameters>]
说明
Set-ADSyncBasicReadPermissions 函数将授予 AD 同步帐户所需的权限,其中包括以下内容:1. 对所有后代 computer 对象的所有属性的读取属性访问权限 2. 对所有后代 device 对象的所有属性的读取属性访问权限 3. 对所有后代 foreignsecurityprincipal 对象的所有属性的读取属性访问权限 5. 对所有后代 user 对象的所有属性的读取属性访问权限 6. 对所有后代 inetorgperson 对象的所有属性的读取属性访问权限 7. 对所有后代 group 对象的所有属性的读取属性访问权限 8. 对所有后代 contact 对象的所有属性的读取属性访问权限
这些权限适用于林中的所有域。 (可选)可在 ADobjectDN 参数中提供 DistinguishedName,以仅在该 AD 对象上设置这些权限(包括对子对象的继承)。
示例
示例 1
Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
示例 2
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
示例 3
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
示例 4
Set-ADSyncBasicReadPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的名称。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的域。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的 DistinguishedName。
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
用于设置权限的目标 AD 对象的 DistinguishedName(可选)
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
可选参数,指示是否不应使用这些权限更新 AdminSDHolder 容器
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
提示你在运行 cmdlet 之前进行确认。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncExchangeHybridPermissions
摘要
初始化 Active Directory 林和域以获取 Exchange 混合功能。
SYNTAX
UserDomain
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [-SkipAdminSdHolders]
[-WhatIf] [-Confirm] [<CommonParameters>]
说明
Set-ADSyncExchangeHybridPermissions 函数将为 AD 同步帐户提供所需的权限,其中包括以下内容:1. 对所有后代 user 对象的读/写属性访问权限 2. 对所有后代 inetorgperson 对象的读/写属性访问权限 3. 对所有后代 group 对象的读/写属性访问权限 4. 对所有后代 contact 对象的读/写属性访问权限
这些权限适用于林中的所有域。 (可选)可在 ADobjectDN 参数中提供 DistinguishedName,以仅在该 AD 对象上设置这些权限(包括对子对象的继承)。
示例
示例 1
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
示例 2
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
示例 3
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
示例 4
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的名称。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的域。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的 DistinguishedName。
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
用于设置权限的目标 AD 对象的 DistinguishedName(可选)
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
可选参数,指示是否不应使用这些权限更新 AdminSDHolder 容器
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
提示你在运行 cmdlet 之前进行确认。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncExchangeMailPublicFolderPermissions
摘要
初始化 Active Directory 林和域以获取 Exchange 邮件公用文件夹。
SYNTAX
UserDomain
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String>
-ADConnectorAccountDomain <String> [-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm]
[<CommonParameters>]
DistinguishedName
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
说明
Set-ADSyncExchangeMailPublicFolderPermissions 函数将为 AD 同步帐户提供所需的权限,其中包括以下内容:1. 对所有后代 publicfolder 对象的所有属性的读取属性访问权限
这些权限适用于林中的所有域。 (可选)可在 ADobjectDN 参数中提供 DistinguishedName,以仅在该 AD 对象上设置这些权限(包括对子对象的继承)。
示例
示例 1
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
示例 2
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
示例 3
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
示例 4
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的名称。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的域。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的 DistinguishedName。
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
用于设置权限的目标 AD 对象的 DistinguishedName(可选)
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
可选参数,指示是否不应使用这些权限更新 AdminSDHolder 容器
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
提示你在运行 cmdlet 之前进行确认。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncMsDsConsistencyGuidPermissions
摘要
初始化 Active Directory 林和域以获取 mS-DS-ConsistencyGuid 功能。
SYNTAX
UserDomain
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
说明
Set-ADSyncMsDsConsistencyGuidPermissions 函数将为 AD 同步帐户提供所需的权限,其中包括以下内容:1. 对所有后代 user 对象的 mS-DS-ConsistencyGuid 属性的读/写属性访问权限
这些权限适用于林中的所有域。 (可选)可在 ADobjectDN 参数中提供 DistinguishedName,以仅在该 AD 对象上设置这些权限(包括对子对象的继承)。
示例
示例 1
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
示例 2
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
示例 3
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
示例 4
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的名称。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的域。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的 DistinguishedName。
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
用于设置权限的目标 AD 对象的 DistinguishedName(可选)
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
可选参数,指示是否不应使用这些权限更新 AdminSDHolder 容器
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
提示你在运行 cmdlet 之前进行确认。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncPasswordHashSyncPermissions
摘要
初始化 Active Directory 林和域以获取密码哈希同步。
SYNTAX
UserDomain
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [-WhatIf] [-Confirm] [<CommonParameters>]
说明
Set-ADSyncPasswordHashSyncPermissions 函数将为 AD 同步帐户提供所需的权限,其中包括以下内容:1. 复制目录更改 2. 复制目录全部更改
这些权限将授予给林中的所有域。
示例
示例 1
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
示例 2
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Microsoft Entra Connect Sync 将来用于管理目录中的对象的 Active Directory 帐户的名称。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Microsoft Entra Connect Sync 将来用于管理目录中的对象的 Active Directory 帐户的域。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Microsoft Entra Connect Sync 将来用于管理目录中的对象的 Active Directory 帐户的 DistinguishedName。
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
提示你在运行 cmdlet 之前进行确认。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncPasswordWritebackPermissions
摘要
初始化 Active Directory 林和域以从 Microsoft Entra ID 进行密码写回。
SYNTAX
UserDomain
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
说明
Set-ADSyncPasswordWritebackPermissions 函数将为 AD 同步帐户提供所需的权限,其中包括以下内容:1. 对后代 user 对象的重置密码权限 2. 对所有后代 user 对象的 lockoutTime 属性的写入属性访问权限 3. 对所有后代 user 对象的 pwdLastSet 属性的写入属性访问权限
这些权限适用于林中的所有域。 (可选)可在 ADobjectDN 参数中提供 DistinguishedName,以仅在该 AD 对象上设置这些权限(包括对子对象的继承)。
示例
示例 1
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
示例 2
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
示例 3
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
示例 4
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的名称。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的域。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的 DistinguishedName。
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
用于设置权限的目标 AD 对象的 DistinguishedName(可选)
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
可选参数,指示是否不应使用这些权限更新 AdminSDHolder 容器
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
提示你在运行 cmdlet 之前进行确认。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncRestrictedPermissions
摘要
加强 AD 对象的权限,否则该对象不包含在任何受 AD 保护的安全组中。 典型示例是由 Microsoft Entra Connect 自动创建的 AD Connect 帐户 (MSOL)。 此帐户具有所有域的复制权限,但由于不受保护,因此很容易受到入侵。
SYNTAX
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential>
[-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
说明
Set-ADSyncRestrictedPermissions 函数将增强所提供帐户的权限。 限制权限操作包括以下步骤:
在指定对象上禁用继承
删除特定对象上的所有 ACE,但特定于 SELF 的 ACE 除外。 我们希望在处理 SELF 时默认权限保持不变。
分配以下特定权限:
类型 名称 访问 应用于 允许 SYSTEM 完全控制 此对象 允许 企业管理员 完全控制 此对象 允许 域管理员 完全控制 此对象 允许 管理员 完全控制 此对象 允许 企业域控制器 列出内容
读取所有属性
读取权限此对象 允许 经过身份验证的用户 列出内容
读取所有属性
读取权限此对象
示例
示例 1
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN "CN=TestAccount1,CN=Users,DC=Contoso,DC=com" -Credential $(Get-Credential)
PARAMETERS
-ADConnectorAccountDN
需要加强其权限的 Active Directory 帐户的 DistinguishedName。 这通常是 MSOL_nnnnnnnnnn 帐户或 AD Connector 中配置的自定义域帐户。
Type: String
Parameter Sets: (All)
Aliases:
Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Credential
管理员凭据,拥有限制 ADConnectorAccountDN 帐户权限的必要特权。 这通常是企业管理员或域管理员。 使用管理员帐户的完全限定域名来避免帐户查找失败。 示例:CONTOSO\admin
Type: PSCredential
Parameter Sets: (All)
Aliases:
Required: True
Position: 2
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-DisableCredentialValidation
使用 DisableCredentialValidation 时,该函数不会检查 -Credential 中提供的凭据在 AD 中是否有效以及所提供的帐户是否具有必要的特权来限制 ADConnectorAccountDN 帐户权限。
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
提示你在运行 cmdlet 之前进行确认。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Set-ADSyncUnifiedGroupWritebackPermissions
摘要
初始化 Active Directory 林和域以从 Microsoft Entra ID 进行组写回。
SYNTAX
UserDomain
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String>
[-ADobjectDN <String>] [-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
DistinguishedName
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>]
[-SkipAdminSdHolders] [-WhatIf] [-Confirm] [<CommonParameters>]
说明
Set-ADSyncUnifiedGroupWritebackPermissions 函数将为 AD 同步帐户提供所需的权限,其中包括以下内容:1. 对所有组对象类型和子对象的通用读/写、删除、删除树和创建\删除子对象权限
这些权限适用于林中的所有域。 (可选)可在 ADobjectDN 参数中提供 DistinguishedName,以仅在该 AD 对象上设置这些权限(包括对子对象的继承)。 在这种情况下,ADobjectDN 将是与 GroupWriteback 功能链接的所需容器的专有名称。
示例
示例 1
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com'
示例 2
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com'
示例 3
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN 'CN=ADConnector,OU=AzureAD,DC=Contoso,DC=com' -SkipAdminSdHolders
示例 4
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName 'ADConnector' -ADConnectorAccountDomain 'Contoso.com' -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADConnectorAccountName
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的名称。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDomain
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的域。
Type: String
Parameter Sets: UserDomain
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADConnectorAccountDN
Microsoft Entra Connect Sync 现在或将来用于管理目录中的对象的 Active Directory 帐户的 DistinguishedName。
Type: String
Parameter Sets: DistinguishedName
Aliases:
Required: True
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-ADobjectDN
用于设置权限的目标 AD 对象的 DistinguishedName(可选)
Type: String
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-SkipAdminSdHolders
可选参数,指示是否不应使用这些权限更新 AdminSDHolder 容器
Type: SwitchParameter
Parameter Sets: (All)
Aliases:
Required: False
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-WhatIf
显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: wi
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Confirm
提示你在运行 cmdlet 之前进行确认。
Type: SwitchParameter
Parameter Sets: (All)
Aliases: cf
Required: False
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。
Show-ADSyncADObjectPermissions
摘要
显示指定 AD 对象的权限。
SYNTAX
Show-ADSyncADObjectPermissions [-ADobjectDN] <String> [<CommonParameters>]
说明
此函数返回当前为参数 -ADobjectDN 中提供的给定 AD 对象设置的所有 AD 权限。 ADobjectDN 必须以 DistinguishedName 格式提供。
示例
示例 1
Show-ADSyncADObjectPermissions -ADobjectDN 'OU=AzureAD,DC=Contoso,DC=com'
PARAMETERS
-ADobjectDN
{{填写 ADobjectDN 说明}}
Type: String
Parameter Sets: (All)
Aliases:
Required: True
Position: 1
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
CommonParameters
此 cmdlet 支持以下常见参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutVariable、-OutBuffer、-PipelineVariable、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters (https://go.microsoft.com/fwlink/?LinkID=113216)。