Rozwiązywanie problemów z błędem niewystarczające prawa dostępu

Problem

Aprowizacja użytkowników przychodzących w usłudze Active Directory działa zgodnie z oczekiwaniami dla większości użytkowników. Jednak w przypadku niektórych użytkowników dzienniki aprowizacji wyświetla następujący błąd:

ERROR: InsufficientAccessRights-SecErr: The user has insufficient access rights.. Access is denied. \nError Details: Problem 4003 - INSUFF_ACCESS_RIGHTS. 
OR

ERROR: 
"Message":"The user has insufficient access rights.",
"ResponseResultCode":"InsufficientAccessRights",
"ResponseErrorMessage":"00002098: SecErr: DSID-03150F94, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0",
The user has insufficient access rights.

Dzienniki aprowizacji wyświetla kod błędu: HybridSynchronizationActiveDirectoryInsufficientAccessRights.

Przyczyna

Domyślnie konto provAgentgMSA$ agenta aprowizacji GMSA ma uprawnienia do odczytu/zapisu do wszystkich obiektów użytkownika w domenie. Istnieją dwie możliwe przyczyny, które mogą prowadzić do powyższego błędu.

• Przyczyna-1: Obiekt użytkownika jest częścią jednostki organizacyjnej, która nie dziedziczy uprawnień na poziomie domeny.
• Przyczyna-2: Obiekt użytkownika należy do chronionej grupy usługi Active Directory. Zgodnie z projektem obiekty użytkownika podlegają uprawnieniam skojarzonym ze specjalnym kontenerem o nazwie AdminSDHolder. Wyjaśnia to, dlaczego provAgentgMSA$ konto nie może zaktualizować tych kont należących do chronionych grup usługi Active Directory. Możesz spróbować zastąpić i jawnie podać provAgentgMSA$ dostęp do zapisu konta do kont użytkowników, ale nie będzie to działać. Aby zabezpieczyć uprzywilejowane konta użytkowników przed nieprawidłowym użyciem delegowanych uprawnień, istnieje proces w tle o nazwie SDProp uruchamiany co 60 minut i zapewnia, że użytkownicy należący do grupy chronionej są zawsze zarządzane przez uprawnienia zdefiniowane w kontenerze AdminSDHolder . Nawet podejście do dodawania provAgentgMSA$ konta do grupy Administracja domeny nie będzie działać.

Rozwiązanie

Najpierw potwierdź, co powoduje problem. Aby sprawdzić, czy przyczyna-1 jest źródłem problemu:

1. Otwórz konsolę zarządzania Użytkownicy i komputery usługi Active Directory.
2. Wybierz jednostkę organizacyjną skojarzą z użytkownikiem.
3. Kliknij prawym przyciskiem myszy i przejdź do pozycji Właściwości —> Zabezpieczenia —> zaawansowane. Jeśli zostanie wyświetlony przycisk Włącz dziedziczenie, upewnij się, że przyczyna-1 jest źródłem problemu.
4. Kliknij pozycję Włącz dziedziczenie , aby uprawnienia na poziomie domeny dotyczyły tej jednostki organizacyjnej.

   Uwaga

   Pamiętaj, aby zweryfikować całą hierarchię z poziomu domeny w dół do jednostki organizacyjnej zawierającej objęte konta. Wszystkie nadrzędne jednostki organizacyjne/kontenery muszą mieć włączone dziedziczenie, więc uprawnienia stosowane na poziomie domeny mogą być kaskadowe do obiektu końcowego.

Jeśli przyczyna-1 nie jest źródłem problemu, potencjalnie Przyczyna-2 jest źródłem problemu. Istnieją dwie możliwe opcje rozwiązywania problemów.

Opcja 1. Usuń użytkownika, którego dotyczy problem, z chronionej grupy usługi AD Aby znaleźć listę użytkowników podlegających tym AdminSDHolder uprawnieniem, Cx może wywołać następujące polecenie:

Get-AdObject -filter {AdminCount -gt 0}

Artykuły referencyjne:

• Oto przykładowy skrypt programu PowerShell, który może służyć do wyczyszczenia flagi Administracja Count i ponownego włączenia dziedziczenia dla użytkowników, których to dotyczy.
• Wykonaj kroki opisane w tym artykule — Znajdź konta oddzielone, aby znaleźć konta oddzielone (konta, które nie należą do grupy chronionej, ale nadal mają flagę Administracja Count ustawioną na 1)

Opcja 1 może nie zawsze działać

Istnieje proces o nazwie Propagacja deskryptora zabezpieczeń (SDPROP), który jest uruchamiany co godzinę na kontrolerze domeny z rolą FSMO emulatora kontrolera PDC. Jest to ten proces, który ustawia AdminCount atrybut na 1. Główną funkcją SDPROP jest ochrona kont usługi Active Directory z wysokimi uprawnieniami, zapewnienie, że nie można ich usunąć ani nie zmodyfikować praw, przypadkowo lub celowo, przez użytkowników lub procesy z mniejszymi uprawnieniami. Istnieje proces o nazwie Propagacja deskryptora zabezpieczeń (SDPROP), który jest uruchamiany co godzinę na kontrolerze domeny z rolą FSMO emulatora kontrolera PDC. Jest to ten proces, który ustawia AdminCount atrybut na 1. Główną funkcją SDPROP jest ochrona wysoce uprzywilejowanych kont usługi Active Directory. Proces SDPROP gwarantuje, że konta nie mogą być usuwane ani nie mają praw przypadkowo lub celowo modyfikowane przez użytkowników lub procesy z mniejszymi uprawnieniami.

Artykuły referencyjne, które szczegółowo wyjaśniają przyczynę:

• Pięć typowych pytań dotyczących Administracja Holder i SDProp
• Opis obiektu Administracja SD Holder

Opcja 2. Modyfikowanie domyślnych uprawnień kontenera Administracja SDHolder

Jeśli opcja 1 nie jest wykonalna i nie działa zgodnie z oczekiwaniami, poproś Cx o sprawdzenie administratorów usługi AD i administratorów zabezpieczeń, jeśli mogą modyfikować domyślne uprawnienia kontenera AdminSDHolder . W tym artykule wyjaśniono znaczenie kontenera AdminSDHolder . Po uzyskaniu wewnętrznego AdminSDHolder zatwierdzenia w celu zaktualizowania uprawnień kontenera istnieją dwa sposoby aktualizowania uprawnień.

• Użyj polecenia zgodnie z ADSIEdit opisem w tym artykule.
• Za pomocą DSACLS skryptu wiersza polecenia. Oto przykładowy skrypt, który może być używany jako punkt początkowy, a Cx może go dostosować zgodnie z wymaganiami.

$dcFQDN = "<FQDN Of The Nearest RWDC Of Domain>"
$domainDN = "<Domain Distinguished Name>"
$domainNBT = "<Domain NetBIOS Name>"
$dsaclsCMD = "DSACLS '\\$dcFQDN\CN=AdminSDHolder,CN=System,$domainDN' /G '$domainNBT\provAgentgMSA$:RPWP;<Attribute To Write To>'"
Invoke-
Expression $dsaclsCMD | Out-Null

Jeśli dostawca Cx potrzebuje więcej pomocy w rozwiązywaniu problemów z lokalnymi uprawnieniami usługi AD, skontaktuj się z zespołem pomocy technicznej systemu Windows Server. Ten artykuł dotyczący problemów Administracja SDHolder z firmą Microsoft Entra Połączenie zawiera więcej przykładów dotyczących użycia zestawu DSACLS.

Opcja 3. Przypisywanie pełnej kontroli do konta provAgentgMSA

Przypisz uprawnienia Pełna kontrola do provAgentGMSA konta. Zalecamy wykonanie tego kroku, jeśli występują problemy z przeniesieniem obiektu użytkownika z jednej jednostki organizacyjnej kontenera do innej, gdy obiekt użytkownika nie należy do chronionej grupy użytkowników.

W tym scenariuszu poproś Cx o wykonanie poniższych kroków i ponowne testowanie operacji przenoszenia.

1. Zaloguj się do kontrolera domeny usługi AD jako administrator.
2. Otwórz wiersz polecenia programu PowerShell z uprawnieniami run administratora.
3. W wierszu polecenia programu PowerShell uruchom następujące polecenie DSACLS , które przyznaje ogólne wszystkie/pełne sterowanie do konta agenta aprowizacji GMSA. dsacls "dc=contoso,dc=com" /I:T /G "CN=provAgentgMSA,CN=Managed Service Accounts,DC=contoso,DC=com:GA"

Zastąp element węzłem dc=contoso,dc=com głównym lub odpowiednim kontenerem jednostki organizacyjnej. Jeśli używasz niestandardowej usługi GMSA, zaktualizuj wartość DN elementu provAgentgMSA.

Opcja 4. Pomiń konto GMSA i użyj ręcznie utworzonego konta usługi Ta opcja powinna być używana tylko jako tymczasowe obejście, aby odblokować, dopóki problem z uprawnieniami GMSA nie zostanie zbadany i rozwiązany. Naszym zaleceniem jest użycie konta GMSA. Możesz ustawić opcję rejestru, aby pominąć konfigurację GMSA i ponownie skonfigurować agenta aprowizacji microsoft Entra Połączenie, aby użyć ręcznie utworzonego konta usługi z odpowiednimi uprawnieniami.

Następne kroki

• Dowiedz się więcej o interfejsie API aprowizacji ruchu przychodzącego