1
AAD Connect - Unbekannten Befehl ausgeführt
Hallo Zusammen,
heute habe ich eine Test-Exchange Hybridstellung einrichten wollen.
Es gab dann beim AAD Connect GroupWirteback einen "permission-error".
Nach einer kurzen Google Suche, habe ich dann folgende "Lösung" gefunden:
Import-Module “C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1”
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
Jetzt das große Problem. Anstatt den Befehl in unsere Testumgebung zu prüfen, habe ich das aus versehen in der Produktivumgebung getan.
Unsere Produktiv-Hybridstellung funktioniert mal noch.
Das Script warf dann folgenden output:
Welche Berechtigungen habe ich damit gesetzt?
Wie kann ich diese wieder entfernen?
In der Testumgebung hätte ich einfach den Snapshot zurückgesetzt. In der Produktivumgebung ist das leider etwas schwieriger.
Ich würde jetzt am Wochenende den Sync Dienst Stoppen, AAD Connect entfernen, den MSOL Nutzer aus allen Berechtigungen entfernen, den MSOL Nutzer aus dem AD entfernen und AAD Connect neu installieren.
Vielleicht jemand eine andere Idee?
heute habe ich eine Test-Exchange Hybridstellung einrichten wollen.
Es gab dann beim AAD Connect GroupWirteback einen "permission-error".
Nach einer kurzen Google Suche, habe ich dann folgende "Lösung" gefunden:
Import-Module “C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1”
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
Jetzt das große Problem. Anstatt den Befehl in unsere Testumgebung zu prüfen, habe ich das aus versehen in der Produktivumgebung getan.
Unsere Produktiv-Hybridstellung funktioniert mal noch.
Das Script warf dann folgenden output:
PS C:\Users\Administrator> Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName $AzureADConnectSWritebackAccountDN
Cmdlet Set-ADSyncUnifiedGroupWritebackPermissions an der Befehlspipelineposition 1
Geben Sie Werte für die folgenden Parameter an:
ADConnectorAccountDomain: intern.CONTOSO.de
Bestätigung
Möchten Sie diese Aktion wirklich ausführen?
Ausführen des Vorgangs "Grant Group Writeback permissions" für das Ziel "intern.CONTOSO.de".
[J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe (Standard ist "J"): J
Grant permissions on all Domains : AD Domain 'DC=intern,DC=CONTOSO,DC=de'...
Besitzer: VORDEFINIERT\Administratoren
Gruppe: VORDEFINIERT\Administratoren
Zugriffsliste:
Verweigern Jeder Beschränkter Zugriff
DELETE CHILD
Zulassen CONTOSO\Exchange Windows Permissions
Beschränkter Zugriff
DELETE TREE
Zulassen CONTOSO\Exchange Windows Permissions
Beschränkter Zugriff
DELETE TREE
Zulassen CONTOSO\Domänen-Admins Beschränkter Zugriff
READ PERMISSONS
WRITE PERMISSIONS
CHANGE OWNERSHIP
CREATE CHILD
LIST CONTENTS
WRITE SELF
WRITE PROPERTY
READ PROPERTY
LIST OBJECT
CONTROL ACCESS
Zulassen CONTOSO\Organization Management Beschränkter Zugriff
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Zulassen CONTOSO\Exchange Trusted Subsystem Beschränkter Zugriff
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Zulassen CONTOSO\Organisations-Admins FULL CONTROL
Zulassen VORDEFINIERT\Prä-Windows 2000 kompatibler Zugriff
Beschränkter Zugriff
READ PERMISSONS
READ PROPERTY
Zulassen VORDEFINIERT\Prä-Windows 2000 kompatibler Zugriff
Beschränkter Zugriff
LIST CONTENTS
Zulassen VORDEFINIERT\Administratoren Beschränkter Zugriff
DELETE
READ PERMISSONS
WRITE PERMISSIONS
CHANGE OWNERSHIP
CREATE CHILD
LIST CONTENTS
WRITE SELF
WRITE PROPERTY
READ PROPERTY
LIST OBJECT
CONTROL ACCESS
Zulassen Jeder Beschränkter Zugriff
READ PROPERTY
....Welche Berechtigungen habe ich damit gesetzt?
Wie kann ich diese wieder entfernen?
In der Testumgebung hätte ich einfach den Snapshot zurückgesetzt. In der Produktivumgebung ist das leider etwas schwieriger.
Ich würde jetzt am Wochenende den Sync Dienst Stoppen, AAD Connect entfernen, den MSOL Nutzer aus allen Berechtigungen entfernen, den MSOL Nutzer aus dem AD entfernen und AAD Connect neu installieren.
Vielleicht jemand eine andere Idee?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 540739
Url: https://administrator.de/contentid/540739
Printed on: April 24, 2024 at 18:04 o'clock
1 Comment
Welche Berechtigungen habe ich damit gesetzt?
Hier steht's doch:https://docs.microsoft.com/de-de/azure/active-directory/hybrid/reference ...
Die Funktion „Set-ADSyncUnifiedGroupWritebackPermissions“ gewährt dem AD-Synchronisierungskonto die erforderlichen Berechtigungen, darunter die folgenden: 1. „Generisches Lesen/Schreiben“, „Löschen“, „Struktur löschen“ und „Untergeordnetes Objekt erstellen/löschen“ für alle Gruppenobjekttypen und UnterobjekteWie kann ich diese wieder entfernen?
Das sind ganz normale AD-ACLs und die kannst du entweder mit ADSIEdit oder über die erweiterten Eigenschaften von ADUC oder die Powershell mit Remove-ADPermission usw. entfernen. Wundert mich ehrlich gesagt das man das nicht weiß wenn man am AD rum schraubt 
, lass da mal jemand ran der was von der Materie versteht.Jetzt das große Problem. Anstatt den Befehl in unsere Testumgebung zu prüfen, habe ich das aus versehen in der Produktivumgebung getan.
So viel zum Thema : Unbedacht mit "überprivilegierten Accounts" zu arbeiten ohne nachzudenken ...Eine Testumgebung sollte niemals Kontakt zur Produktivumgebung haben.
