V případě, že je používáte Azure AD Connect vydal MS doporučení, jak mají být správně nastaveny práva.
Doporučení Microsoft Security Advisory 4056318
vydané jako
Guidance for securing AD DS account used by Azure AD Connect for directory synchronization je k dispozici na adrese:
https://docs.microsoft.com/cs-cz/security-updates/securityadvisories/2017/4056318
Zde je popsán manuální postup.
Ale také je možnost použít zveřejněný script, který vše provede za Vás.
Nejprve je nutno stáhnout modul z adresy:
https://gallery.technet.microsoft.com/Prepare-Active-Directory-ef20d978#content.
Zde je pod názvem: Prepare Active Directory Forest and Domains for Azure AD Connect Sync
A pak použijeme následující postup v PowerShellu:
Na doménovém řadiči se přihlásíme jako doménový administrator
Provedeme kontrolu, že účet pro synchrazaci do AZURE se nachází v OU Users
(!!! pokud bude účet v jiné OU, tak obdržíte chybku !!!)
Spustíme PowerShell s právy administratora.
# nastavíme politiku
Set-ExecutionPolicy bypass -Scope LocalMachine
# provedeme import modulu
Import-Module d:\AdSyncConfig.psm1
# A zavoláme modul
Set-ADSyncRestrictedPermissions -ObjectDN "CN=azure_sync,CN=Users,DC=firma,DC=cz" -Credential (Get-Credential)
následně zadáme doménový administrátorský účet a heslo
a provedení potvrdíme YES to ALL
Žádné komentáře:
Okomentovat