创建 AD DS 连接器帐户

Microsoft Azure Active Directory Connect 是将本地对象同步到云的出色工具。如果要安装 Azure AD Connect 并使用服务帐户或在安装 Azure AD Connect 时更改 Azure AD Connect 中的服务帐户而不是默认创建的服务帐户，该怎么办？在本文中，我们将展示如何创建和加强 AD DS 连接器服务帐户。

Azure AD 连接帐户

Azure AD Connect 使用以下 3 个帐户在 Active Directory（本地）和 Azure Active Directory（云）之间同步数据：

1. AD DS 连接器帐户：向 Windows Server Active Directory 读取/写入信息

2. ADSync 服务帐户：运行同步服务并访问 SQL 数据库

3. Azure AD 连接器帐户：将信息写入 Azure AD

我们将查看AD DS 连接器帐户。

了解更多：查找 Azure AD Connect 帐户 »

Azure AD DS 连接器帐户

Azure AD Connect 设置有两个帐户选项可供选择：

• 创建新的 AD 帐户：Azure AD Connect 将在 AD 中创建一个具有所有必要权限的 AD DS 连接器帐户 (MSOL_xxxxxxxxxx)

• 使用现有 AD 帐户：提供具有所需权限的现有帐户（本文）

如果您想使用第二个选项：使用现有 AD 帐户，该怎么办？这将如何运作？

管理员通常会在 AD 中创建AD DS 连接器服务帐户，并将其用作 Azure AD Connect 中的现有 AD 帐户。但是，Azure AD Connect 安装完成后，存在同步权限问题，无法进行同步。

您绝对不想将 AD DS 连接器服务帐户添加到组中：

• 企业管理员

• 域管理员

注意：当 Azure AD Connect 运行与 Azure AD 的同步时，您经常会遇到权限问题。这意味着 Azure AD 帐户不具备所需的权限。将服务帐户添加到高权限帐户并使其同步不是解决办法。它会给你的环境带来麻烦和危险！

那么如何授予最少的权限并确保 AD DS Connector 服务帐户设置正确呢？答案是使用微软提供的PowerShell脚本。

如何配置 AD DS 连接器帐户权限

要配置权限并加强 AD DS 连接器服务帐户，请按照以下步骤操作。

创建 AD DS 连接器服务帐户

启动Active Directory 用户和计算机并创建服务帐户。您将使用该帐户作为 AD DS 连接器帐户。

在我们的示例中，我们将创建服务帐户 svc-adds。

让我们检查一下 svc-adds 帐户上的访问控制列表 (ACL)。

安装远程服务器管理工具

要在后续步骤中配置和加强 Azure AD Connect 服务帐户，需要安装远程服务器管理工具。

在 Azure AD Connect 服务器上以管理员身份运行 PowerShell，并运行下面的 cmdlet。

PS C:\> Install-WindowsFeature RSAT-AD-Tools

Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Remote Server Administration Tools, Activ...

加载 PowerShell 模块 AdSyncConfig.psm1

AdSyncConfig.psm1 PowerShell 脚本将为作为参数提供的 AD DS 连接器帐户配置和收紧权限。

如果已安装 Azure AD Connect，则 Azure AD Connect 目录中有 AdSyncConfig.psm1。如果没有 Azure AD Connect，可以运行 Azure AD Connect 安装程序。它不会安装 Azure AD Connect，但会加载文件。

以管理员身份运行 Windows PowerShell。运行Import-Module并指定加载模块的路径。

PS C:\> Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

运行 Get-Command 并指定模块 AdSyncConfig。检查所有 cmdlet 是否都包含在此模块中。

PS C:\> Get-Command -Module AdSyncConfig

CommandType     Name                                               ModuleName
-----------     ----                                               ----------
Function        Get-ADSyncADConnectorAccount                       AdSyncConfig
Function        Get-ADSyncObjectsWithInheritanceDisabled           AdSyncConfig
Function        Set-ADSyncBasicReadPermissions                     AdSyncConfig
Function        Set-ADSyncExchangeHybridPermissions                AdSyncConfig
Function        Set-ADSyncExchangeMailPublicFolderPermissions      AdSyncConfig
Function        Set-ADSyncMsDsConsistencyGuidPermissions           AdSyncConfig
Function        Set-ADSyncPasswordHashSyncPermissions              AdSyncConfig
Function        Set-ADSyncPasswordWritebackPermissions             AdSyncConfig
Function        Set-ADSyncRestrictedPermissions                    AdSyncConfig
Function        Set-ADSyncUnifiedGroupWritebackPermissions         AdSyncConfig
Function        Show-ADSyncADObjectPermissions                     AdSyncConfig

查找 AD DS 连接器服务帐户 DistinguishedName

右键单击 AD DS 连接器服务帐户，然后单击属性。转到属性编辑器选项卡。在属性列表中查找属性distuingedName。 双击打开字符串并复制值。您将在下一部分中需要它。

MS-DS-一致性指南的权限

配置 MS-DS-Consistency-GUID 权限。

PS C:\> Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN "CN=svc-adds,OU=Service Accounts,OU=Company,DC=exoip,DC=local"

密码哈希同步的权限

配置密码哈希同步权限。

PS C:\> Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN "CN=svc-adds,OU=Service Accounts,OU=Company,DC=exoip,DC=local"

密码写回权限

配置密码写回权限。

PS C:\> Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN "CN=svc-adds,OU=Service Accounts,OU=Company,DC=exoip,DC=local"

组写回权限

配置组写回权限。

PS C:\> Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN "CN=svc-adds,OU=Service Accounts,OU=Company,DC=exoip,DC=local"

Exchange 混合部署的权限

配置 Exchange 混合部署权限。

PS C:\> Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN "CN=svc-adds,OU=Service Accounts,OU=Company,DC=exoip,DC=local"

Exchange Mail 公用文件夹的权限

配置 Exchange Mail 公用文件夹权限。

PS C:\> Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN "CN=svc-adds,OU=Service Accounts,OU=Company,DC=exoip,DC=local"

AD DS 连接器帐户的权限限制

获取凭证对象并将其保存在变量$credential中。

PS C:\> $credential = Get-Credential

出现提示。填写具有管理员权限的凭据。单击确定。

加强 AD DS 连接器帐户的权限。

PS C:\> Set-ADSyncRestrictedPermissions -ADConnectorAccountDN "CN=svc-adds,OU=Service Accounts,OU=Company,DC=exoip,DC=local" -Credential $credential

现在，svc-adds 帐户权限已配置并强化，让我们看看下一步。

比较 AD DS 连接器帐户

我们来比较一下 AD DS Connector 帐户权限：

• MSOL_xxxxxxxxxx： AD DS 连接器帐户（由 Azure AD Connect 安装创建）

• svc-adds：自定义 AD DS 连接器帐户

MSOL_xxxxxxxxxx 帐户的 ACL 如下所示：

了解更多：使用 PowerShell 导出 AD ACL 权限 »

成员仅显示域用户。

自定义 svc-adds 帐户的 ACL 如下所示：

成员仅显示域用户。

它们都具有相同的权限，这些权限是 AD DS 连接器帐户的正确权限。

您已准备好在 Azure AD Connect 安装中选择使用现有 AD 帐户，并提供svc-adds帐户凭据。

您是否已安装并配置 Azure AD Connect？查看如何更改 AD DS 连接器帐户。

结论

您了解了如何创建 AD DS 连接器帐户。完成这些步骤并加强 AD DS 连接器服务帐户至关重要。

如果已使用自定义 AD DS 连接器服务帐户安装了 Azure AD Connect，请确保设置了正确的权限。这意味着服务帐户不会添加到企业管理员、域管理员或其他高权限组。

您喜欢这篇文章吗？您可能还喜欢升级 Azure AD Connect。不要忘记关注我们并分享这篇文章。