Řešení potíží s chybou nedostatečných přístupových práv

Problém

Příchozí zřizování uživatelů ve službě Active Directory funguje podle očekávání pro většinu uživatelů. U některých uživatelů se ale v protokolech zřizování zobrazí následující chyba:

ERROR: InsufficientAccessRights-SecErr: The user has insufficient access rights.. Access is denied. \nError Details: Problem 4003 - INSUFF_ACCESS_RIGHTS. 
OR

ERROR: 
"Message":"The user has insufficient access rights.",
"ResponseResultCode":"InsufficientAccessRights",
"ResponseErrorMessage":"00002098: SecErr: DSID-03150F94, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0",
The user has insufficient access rights.

Protokoly zřizování zobrazí kód chyby: HybridSynchronizationActiveDirectoryInsufficientAccessRights.

Příčina

Účet agenta zřizování GMSA provAgentgMSA$ má ve výchozím nastavení oprávnění ke čtení a zápisu pro všechny uživatelské objekty v doméně. Existují dvě možné příčiny, které můžou vést k výše uvedené chybě.

• Příčina-1: Objekt uživatele je součástí organizační jednotky, která nedědí oprávnění na úrovni domény.
• Příčina-2: Objekt uživatele patří do chráněné skupiny služby Active Directory. Objekty uživatele jsou záměrně řízeny oprávněními, která jsou přidružena ke speciálnímu kontejneru s názvem AdminSDHolder. To vysvětluje, proč provAgentgMSA$ účet nemůže aktualizovat tyto účty patřící do chráněných skupin služby Active Directory. Můžete se pokusit přepsat a explicitně zadat přístup k zápisu provAgentgMSA$ účtu k uživatelským účtům, ale to nebude fungovat. Aby bylo možné zabezpečit privilegované uživatelské účty před zneužitím delegovaných oprávnění, existuje proces na pozadí označovaný jako SDProp , který se spouští každých 60 minut a zajišťuje, aby uživatelé patřící do chráněné skupiny byli vždy spravováni oprávněními definovanými v kontejneru AdminSDHolder . I přístup přidání provAgentgMSA$ účtu do skupiny Domain Správa nebude fungovat.

Rozlišení

Nejprve ověřte, co je příčinou problému. Pokud chcete zkontrolovat, jestli příčinou problému je příčina-1:

1. Otevřete konzolu pro správu Uživatelé a počítače služby Active Directory.
2. Vyberte organizační jednotky přidružené k uživateli.
3. Klikněte pravým tlačítkem myši a přejděte na Vlastnosti –> Zabezpečení –> Upřesnit. Pokud se zobrazí tlačítko Povolit dědičnost, potvrdí se, že příčinou problému je příčina-1.
4. Klikněte na Povolit dědičnost , aby byla pro tuto organizační jednotky použitelná oprávnění na úrovni domény.

   Poznámka:

   Nezapomeňte ověřit celou hierarchii z úrovně domény dolů do organizační jednotky, která má ovlivněné účty. Všechny nadřazené organizační jednotky/kontejnery musí mít povolenou dědičnost, aby se oprávnění použitá na úrovni domény mohla kaskádovitě snížit na konečný objekt.

Pokud příčina-1 není zdrojem problému, může být příčinou problému příčina-2. Existují dvě možné možnosti řešení.

Možnost 1: Odebrání ovlivněného uživatele z chráněné skupiny AD K vyhledání seznamu uživatelů, kteří se řídí tímto AdminSDHolder oprávněním, může Cx vyvolat následující příkaz:

Get-AdObject -filter {AdminCount -gt 0}

Referenční články:

• Tady je ukázkový skript PowerShellu, který se dá použít k vymazání příznaku Správa Count a opětovnému povolení dědičnosti ovlivněných uživatelů.
• Kroky popsané v tomto článku – Vyhledání osamocených účtů k vyhledání osamocených účtů (účty, které nejsou součástí chráněné skupiny, ale přesto mají příznak Správa Count nastavený na hodnotu 1).

Možnost 1 nemusí vždy fungovat

Existuje proces označovaný jako proces šíření popisovače zabezpečení (SDPROP), který běží každou hodinu na řadiči domény, který má roli FSMO emulátoru primárního řadiče domény. Tento proces nastaví AdminCount atribut na hodnotu 1. Hlavní funkcí SDPROP je ochrana vysoce privilegovaných účtů služby Active Directory a zajištění toho, aby je uživatelé nebo procesy s menším oprávněním nemohli odstranit nebo mají práva upravená, omylem nebo úmyslně. Existuje proces označovaný jako proces šíření popisovače zabezpečení (SDPROP), který běží každou hodinu na řadiči domény, který má roli FSMO emulátoru primárního řadiče domény. Tento proces nastaví AdminCount atribut na hodnotu 1. Hlavní funkcí SDPROP je ochrana vysoce privilegovaných účtů služby Active Directory. Proces SDPROP zajišťuje, že se účty nedají odstranit nebo mají omylem nebo záměrně upravená uživateli nebo procesy s menším oprávněním.

Články s referenčními informacemi, které vysvětlují důvod podrobně:

• Pět běžných dotazů k Správa Holder a SDProp
• Principy objektu držitelů Správa SD

Možnost 2: Úprava výchozích oprávnění kontejneru Správa SDHolder

Pokud možnost 1 není proveditelná a nefunguje podle očekávání, požádejte Cx, aby zkontrolovala správce AD a správce zabezpečení, pokud mají povoleno upravovat výchozí oprávnění kontejneru AdminSDHolder . Tento článek vysvětluje důležitost kontejneru AdminSDHolder . Jakmile Cx získá interní schválení pro aktualizaci oprávnění kontejneru AdminSDHolder , existují dva způsoby, jak oprávnění aktualizovat.

• PoužitíADSIEdit, jak je popsáno v tomto článku.
• Pomocí DSACLS skriptu příkazového řádku Tady je ukázkový skript, který se dá použít jako výchozí bod a Cx ho může upravit podle svých požadavků.

$dcFQDN = "<FQDN Of The Nearest RWDC Of Domain>"
$domainDN = "<Domain Distinguished Name>"
$domainNBT = "<Domain NetBIOS Name>"
$dsaclsCMD = "DSACLS '\\$dcFQDN\CN=AdminSDHolder,CN=System,$domainDN' /G '$domainNBT\provAgentgMSA$:RPWP;<Attribute To Write To>'"
Invoke-
Expression $dsaclsCMD | Out-Null

Pokud Cx potřebuje další pomoc s řešením potíží s oprávněními místní služby AD, zapojte tým podpory Windows Serveru. Tento článek o problémech Správa SDHolder s Microsoft Entra Připojení obsahuje další příklady použití DSACLS.

Možnost 3: Přiřazení úplného řízení k účtu provAgentgMSA

Přiřaďte účtu oprávnění provAgentGMSA Úplné řízení. Tento krok doporučujeme, pokud dochází k problémům s přesunem objektu uživatele z jedné organizační jednotky kontejneru do jiného, pokud objekt uživatele nepatří do chráněné skupiny uživatelů.

V tomto scénáři požádejte Cx, aby dokončil následující kroky a znovu otestuje operaci přesunutí.

1. Přihlaste se k řadiči domény AD jako správce.
2. Otevřete příkazový řádek PowerShellu run jako správce.
3. Na příkazovém řádku PowerShellu spusťte následující příkaz DSACLS , který uděluje obecné řízení a úplné řízení účtu agenta zřizování GMSA. dsacls "dc=contoso,dc=com" /I:T /G "CN=provAgentgMSA,CN=Managed Service Accounts,DC=contoso,DC=com:GA"

dc=contoso,dc=com Nahraďte kořenovým uzlem nebo odpovídajícím kontejnerem organizační jednotky. Pokud používáte vlastní GMSA, aktualizujte hodnotu DN pro provAgentgMSA.

Možnost 4: Přeskočte účet GMSA a použijte ručně vytvořený účet služby. Tuto možnost byste měli použít jenom jako dočasné alternativní řešení, které odblokuje, dokud se problém s oprávněním GMSA nevyšetří a nevyřeší. Naším doporučením je použít účet GMSA. Můžete nastavit možnost registru tak, aby přeskočí konfiguraci GMSA a překonfiguruje agenta zřizování Microsoft Entra Připojení tak, aby používal ručně vytvořený účet služby se správnými oprávněními.

Další kroky

• Další informace o rozhraní API pro příchozí zřizování