委托同步 Azure AD Connect 的访问权限

在某些情况下，您可能希望委派同步 Azure AD Connect 的权利。

您可以轻松地执行此操作，而无需委派管理 Azure AD Connect 的完全访问权限。

安装 Azure AD Connect 时，它会创建多个组：

• ADSync管理员
• AD同步浏览
• ADSync操作符
• ADSync密码集

如果将 Azure AD Connect 安装到成员服务器，则这些组将在服务器上创建为本地组。

如果在域控制器上安装 Azure AD Connect，这些组将创建为域本地组。

要允许管理员执行 Azure AD Connect 同步，她需要成为 ADSyncOperators 的成员。

更新组成员身份后，用户需要注销并登录以刷新其访问令牌。

您可以使用以下命令检查访问令牌：

PS C:\> whoami /all

USER INFORMATION
----------------

User Name              SID
====================== ==============================================
easy365manager\adm.msk S-1-5-21-3688220979-3330231506-4120471870-1142


GROUP INFORMATION
-----------------

Group Name                                 Type             SID                                            Attributes
========================================== ================ ============================================== ===============================================================
Everyone                                   Well-known group S-1-1-0                                        Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators                     Alias            S-1-5-32-544                                   Mandatory group, Enabled by default, Enabled group, Group owner
BUILTIN\Users                              Alias            S-1-5-32-545                                   Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\REMOTE INTERACTIVE LOGON      Well-known group S-1-5-14                                       Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\INTERACTIVE                   Well-known group S-1-5-4                                        Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users           Well-known group S-1-5-11                                       Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization             Well-known group S-1-5-15                                       Mandatory group, Enabled by default, Enabled group
LOCAL                                      Well-known group S-1-2-0                                        Mandatory group, Enabled by default, Enabled group
EASY365MANAGER\AD User Management          Group            S-1-5-21-3688220979-3330231506-4120471870-1143 Mandatory group, Enabled by default, Enabled group
Authentication authority asserted identity Well-known group S-1-18-1                                       Mandatory group, Enabled by default, Enabled group
EASY365MANAGER\ADSyncOperators             Alias            S-1-5-21-3688220979-3330231506-4120471870-1105 Mandatory group, Enabled by default, Enabled group, Local Group
Mandatory Label\High Mandatory Level       Label            S-1-16-12288

从 AD 用户和计算机执行一键同步

借助 Easy365Manager，您可以直接从用户属性触发 Azure AD Connect 同步。

通常，您需要在进行 AD 用户更改（例如更新电子邮件地址）后立即触发同步。

选择“将 AD 与 Office 365 同步”复选框，然后单击“确定”或“应用”：

借助 Easy365Manager，您可以在几分钟内将复杂的任务（通常需要 PowerShell）卸载到一级支持。

作为奖励，您可以完全删除本地 Exchange 服务器。这将为您提供 100% 的保护，防止未来出现铪等零日漏洞。

下载 30 天试用版以尝试许多功能。