Active Directory Profil - Leserecht auf DeletedObjects

Folgen

Anforderung

Der Service Account, welcher für eine Active Directory (AD) Synchronisation genutzt wird, benötigt auf den AD Container "DeletedObjects" ein Leserecht. Ohne besagtes Recht, würden gelöschte AD Benutzer bei einer Synchronisation nicht im PasswordSafe deaktiviert werden.

2021-01-05_12_43_14-_PWS-User__auf__MTO-NB25__-_Verbindung_mit_virtuellen_Computern.png

Voraussetzungen

  • Administratorrechte auf dem Domänencontroller (DC)
  • Berechtigungen CMD als Administrator auf dem DC zu starten

Vorgehensweise

Verbinden Sie per RDP auf einen Domänencontroller (DC) und führen Sie wie im offiziellen Microsoft KB Artikel die nachfolgenden Schritte aus:

Starten Sie CMD auf dem DC als Administrator.

Führen Sie folgenden Befehl aus (auf eigene Umgebung anpassen), um Schreibberechtigungen in der aktuellen CMD Session zu erhalten:

dsacls "CN=Deleted Objects,DC=lab,DC=local" /takeownership

Anschließend folgenden Befehl (auch hier auf eigene Umgebung/Account anpassen) ausführen, um dem Service Account Leserechte zu gewähren:

dsacls "CN=Deleted Objects,DC=lab,DC=local" /g lab\svc_pws:LCRP

 

Zusätzliche Informationen

Sie müssen diese Schritte für alle Domänen widerholen, sofern sie mehrere haben. Jede Domäne besitzt ihren eigenen "DeletedObjects" Container!

 

Haben Sie Fragen? Anfrage einreichen

Kommentare