Nach der erfolgreichen Installation von Azure AD Connect, habe ich bemerkt, dass im Synchronization Service ein Fehler beim Export des Metaverses zur Domäne angezeigt wurde. Beim Troubleshooting stellte ich fest das die Zugriffsrechte bei 22 Benutzern nicht ausreichend waren.
Doch warum betrifft diese Fehlermeldung nur einen Teil der Benutzer und nicht alle? Ich vermutete das die Vererbung an den Nutzerobjekten deaktiviert war und überprüft dies via PowerShell.
1 2 | $OU = "OU=Benutzer,DC=domain,DC=internal" Get-ADUser -SearchBase $OU -Filter * -Properties nTSecurityDescriptor | ?{ $_.nTSecurityDescriptor.AreAccessRulesProtected -eq "True" } |
Meine Vermutung bestätigte sich auf diesem Wege, bei allen Benutzern war die Vererbung deaktiviert. Somit konnte ich mich an die Fehlerbehebung machen. Dazu habe ich im Microsoft TechNet ein super Skript gefunden.
https://gallery.technet.microsoft.com/Find-and-Fix-Broken-Object-5ae18ab1
Mit folgendem Befehl konnte ich die Vererbung für die Benutzer wieder aktivieren.
1 | .\Fix-BrokenInheritance.ps1 -SearchBase "OU=Benutzer,DC=domain,DC=internal" -Confirm |
Die nächste Synchronisierung lief nun ohne Fehlermeldungen durch.