Azure AD Connect Zugriffsrechte auf neue/zweite Domain setzen

von | Apr 12, 2021 | Artikel | 0 Kommentare

In einem aktuellen Kundenprojekt ergab sich eine besondere Herausforderung, deren Lösung wir hier gerne öffentlich dokumentieren.

2020 - das Jahr des Aufstiegs von Ransomware: Attacken werden mehr und teurer

Ausgangslage

Ausgangslage: es besteht ein Active Directory (AD), ein Office 365 bzw. Azure Tenant, für die Synchronisation der on-premise Active Directory Benutzerkonten nach Azure wird die Microsoft-Synchronisationslösung Azure AD Connect (AADConnect) eingesetzt. Beim Einrichten der AADConnect-Lösung wurden dem zugehörigen Synchronisierungsaccount bestimmte Rechte auf die vorhandenen Domains eingeräumt, z.B. Leserechte auf diverse Domain-Objekte (Benutzerkonten, Gruppen, Kontakte usw.). Nun wird im bestehenden Active Directory eine neue Domain erstellt und auch von dieser neuen Domain sollten Benutzerkonten und weitere Objekte nach Office 365 synchronisiert werden. Allerdings besitzt das Synchronisationskonto per default keine Rechte an der neuen Domain, wie kann das gelöst werden? Beim Durchklicken des AADConnect-Assistenten wird zwar die neue Domain angezeigt, aber es erscheint gleichzeitig ein Warnhinweis, dass für die neue Domain noch die entsprechenden Zugriffsrechte zu setzen sind.

Screenshot: Starten des AADConnect-Synchronisationsoptionen-Assistent:

Screenshot

 

Anmelden mit einem berechtigten Konto (Globaler Administrator in Office 365), anschließend liest der AADConnect-Assistent die bestehende Konfiguration sowie weitere Daten und Einstellungen ein, u.a. auch die vorhandenen Domänen:

Microsoft Azure Active Directors Connect

 

Als nächstes erfolgt der Schritt „Verbinden der Verzeichnisse“, hier ist i.d.R. nichts zu ändern, es sein denn, es wird eine neue Active Directory Gesamtstruktur (Forrest) erstellt; in unserem Beispiel wurde aber (nur) eine neue Domäne im vorhandenen Forest erstellt; deshalb in diesem Schritt einfach auf „Next“ klicken.

Connect your directories

Im nächsten Schritt können die zu synchronisierenden Domänen bzw. Organisationseinheiten (OU‘s) spezifiziert werden: die neue Domäne wird noch nicht angezeigt:

Domain and OE filtering

 

Nach einem Klick auf „Refresh Domains“ werden neu erstellte Domänen angezeigt:

Anzeige neu erstellter Domains

Und am unteren Rand des Fensters erscheint der Hinweis, dass ein Enterprise Administrator dem Synchronisierungskonto die benötigten Rechte für den Zugriff auf die neue Domäne geben muss. Und es wird ein „Learn more“ Link angezeigt: https://go.microsoft.com/fwlink/?linkid=853948 (Azure AD Connect: Konfigurieren der Azure AD-Connector-Kontoberechtigungen); hier wird u.a. ein PowerShell-Modul namens ADSyncConfig.psm1 beschrieben, das eine Sammlung von Cmdlets enthält, die beim Konfigurieren der richtigen Active Directory-Berechtigungen für AADConnect-Synchronisierung unterstützen (dazu später mehr).

Beim Klick auf das ? rechts von „Refresh Domains“ erscheint ein „NEW DOMAIN“ Hinweis bzgl. den zu setzenden Rechten:

New Domain

Hier kann der AADConnect-Assistent abgebrochen werden, denn es müssen zuerst die notwendigen Rechte gesetzt werden. Leider lassen sich diese Rechte nicht per AADConnect setzen.

Für das vereinfachte Setzen dieser Berechtigungen hat Microsoft eine PowerShell Cmdlet-Sammlung erstellt, die über das vorgenannte ADSyncConfig.psm1 Modul bereitgestellt werden.

Wem müssen diese Berechtigungen erteilt werden? Dem AD DS Connector Konto. Dieses Konto ist eines von drei Konten, die i.d.R. beim AADConnect eingesetzt werden. Eines dieser Konten ist für den Zugriff auf die SQL-Datenbank zuständig, eines für den Zugriff auf Azure AD und das AD DS Connector Konto für den Zugriff auf das on-premise Active Directory.

Das AD DS-Connector-Konto besitzt die folgenden Berechtigungen (Details: https://docs.microsoft.com/de-de/azure/active-directory/hybrid/reference-connect-accounts-permissions):

  • Verzeichnisänderungen replizieren, Verzeichnisänderungen replizieren: Alle
  • Alle Eigenschaften lesen/schreiben: Benutzer
  • Alle Eigenschaften lesen/schreiben: iNetOrgPerson
  • Alle Eigenschaften lesen/schreiben: Gruppe
  • Alle Eigenschaften lesen/schreiben: Kontakt
  • Kennwort zurücksetzen

Dieses AD DS Connect Konto wird vom AADConnect Express-Setup im on-premise Active Directory erstellt und berechtigt. Dieses Konto dient zum Lesen und Schreiben von Verzeichnisinformationen während der Synchronisierung. Das benutzerdefinierte Setup setzt ebenfalls die Berechtigungen für das AD DS Connect Konto. Neben den üblichen AD-Berechtigungen gibt es noch weitere Berechtigungen, die davo