Anforderung
Der Service Account, welcher für eine Active Directory (AD) Synchronisation genutzt wird, benötigt auf den AD Container "DeletedObjects" ein Leserecht. Ohne besagtes Recht, würden gelöschte AD Benutzer bei einer Synchronisation nicht im PasswordSafe deaktiviert werden.
Voraussetzungen
- Administratorrechte auf dem Domänencontroller (DC)
- Berechtigungen CMD als Administrator auf dem DC zu starten
Vorgehensweise
Verbinden Sie per RDP auf einen Domänencontroller (DC) und führen Sie wie im offiziellen Microsoft KB Artikel die nachfolgenden Schritte aus:
Starten Sie CMD auf dem DC als Administrator.
Führen Sie folgenden Befehl aus (auf eigene Umgebung anpassen), um Schreibberechtigungen in der aktuellen CMD Session zu erhalten:
dsacls "CN=Deleted Objects,DC=lab,DC=local" /takeownership
Anschließend folgenden Befehl (auch hier auf eigene Umgebung/Account anpassen) ausführen, um dem Service Account Leserechte zu gewähren:
dsacls "CN=Deleted Objects,DC=lab,DC=local" /g lab\svc_pws:LCRP
Zusätzliche Informationen
Sie müssen diese Schritte für alle Domänen widerholen, sofern sie mehrere haben. Jede Domäne besitzt ihren eigenen "DeletedObjects" Container!