Azure AD Connect-Synchronisierung

Azure AD Connect-Synchronisierung

Verhindern eines versehentlichen Löschvorgangs

Ray-Jan Singrin / 02. April 2020

Mittels Azure AD Connect ist es möglich, lokale Benutzer der eigenen Active Directory in die Microsoft Cloud (Azure Active Directory) zu synchronisieren. Das vereinfacht die Benutzerverwaltung und minimiert somit den administrativen Aufwand einer Hybriden IT-Umgebung.

Azure AD Connect synchronisiert standardmäßig alle 30 Minuten anhand der definierten Filterkriterien entsprechende AD Objekte (Benutzer, Gruppen etc.). In den meisten Fällen wird ein OU (Organisation Unit) Filter angewandt, um somit die Anzahl der zu synchronisierenden Objekte auf das nötigste zu reduzieren. Gelegentlich kann es nun vorkommen, dass entsprechende Filter durch weitere OUs erweitert oder ergänzt werden oder dass in der lokalen AD eine größere Anzahl an Objekten verschoben bzw. dahingehend abgeändert werden, so dass der Filter nicht mehr passt und somit „versehentlich“ alle synchronisierten AD Objekte im Azure AD gelöscht werden. Grundsätzlich ist es nicht schlimm, da solche Anpassungen schnell wieder rückgängig gemacht werden können und die Azure AD Objekte mit der nächsten Synchronisierung wiederhergestellt werden aber es gehen unter Umständen Gruppenzugehörigkeiten (O365 Gruppen) oder andere Benutzer- bzw. Gruppenspezifische Anpassung in der Cloud verloren.

Um solch eine „versehentliche“ Löschung bei der AAD Connect Synchronisierung zu vermeiden, bietet Microsoft einen Schutz, welcher standardmäßig bereits aktiviert ist. Er ist so konfiguriert, dass bei einer AAD Connect Synchronisierung mit mehr als 500 Löschungen unterbunden werden.

In den meisten Fällen werden allerdings selten in einer Synchronisierung 500 Benutzer gelöscht oder überhaupt synchronisiert. Daher kenn der Schwellwert mittels PowerShell einfach geändert werden.

 

Enable-ADSyncExportDeletionThreshold

Dies ist ein Bestandteil des AD-Synchronisierungsmoduls, das mit Azure AD Connect installiert wird. Damit nun der Schwellwert auf die eigenen Bedürfnisse angepasst werden kann, geht man wie folgt vor:

  1. Starten der Powershell auf dem AAD-Connect Server (Als Administrator ausführen)
  2. Mittels folgenden Befehles den aktuellen wert abfragen (der Standardwert ist 500):
    Get-ADSyncExportDeletionThreshold
  3. Mit dem nächsten Befehl den Wert ändern. Hierbei wird der Wert „500“ durch den eigenen Wert ersetzt:
    Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500

Sobald nun bei der nächsten Synchronisierung der definierte Schwellwert für gelöschte Benutzer erreicht wird, erhält man eine Benachrichtigung per Mail und wird somit darüber informiert, dass die Synchronisierung nicht komplett durchgeführt wurde, also keine Benutzer gelöscht wurden.

Man sieht auch im Synchronization Service Manager, dass während der Synchronisierung der Löschvorgang gestoppt wurde:

Synchronization Service Manager
Synchronization Service Manager

Möchte man nun doch eine größere Anzahl an Löschvorgängen zulassen, so setzt man am besten vorübergehend den Wert auf die gewünschte Anzahl hoch (siehe oben genannte Schritte).

 

Zurück