Aracılığıyla paylaş

İzin sorunu hatası 8344, "İşlemi gerçekleştirmek için erişim hakları yetersiz."

Bu makalede , "İzin sorunu [8344]" hatası olan "İşlemi gerçekleştirmek için erişim hakları yetersiz" hatasının nasıl anlaşılacağı ve giderılacağı açıklanır. Bu Microsoft Entra hatası, Eşitleme Hizmeti Yöneticisi'nde dışarı aktarma işlemi sırasında bir şirket içi Active Directory bağlayıcısında oluşur.

Not

Bu makale yardımcı oldu mu? Girdileriniz bizim için önemlidir. Bu makalenin sizin için ne kadar iyi çalıştığını veya nasıl geliştirebileceğimizi bize bildirmek için lütfen bu sayfadaki Geri Bildirim düğmesini kullanın.

Belirtiler

Eşitleme Hizmeti Yöneticisi uygulamasının İşlemler sekmesinde, Bağlantı İşlemleri tablosu, Profil Adı sütun değerinin Dışarı Aktar olduğu şirket içi AD bağlayıcısını temsil eden bir satır içerir. Ancak, karşılık gelen Durum sütun değeri completed-export-errors şeklindedir. Bu tablo satırını seçtiğinizde, ikincil tabloda bir veya daha fazla izin sorunu dışarı aktarma hatası görüntülenir.

Eşitleme Hizmeti Yöneticisi uygulamasındaki izin sorunu hatalarının ekran görüntüsü.

İzin sorunu dışarı aktarma hatalarından birini seçerseniz, Bağlayıcı Alanı Nesne Özellikleri iletişim kutusu görüntülenir. Dışarı Aktarma Hatası sekmesinde aşağıdaki bilgiler gösterilir.

Hata Bilgileri alanı Değer
Hata izin sorunu
Bağlı veri kaynağı hata kodu 8344
Bağlı veri kaynağı hatası İşlemi gerçekleştirmek için erişim hakları yetersiz.

Eşitleme Hizmeti Yöneticisi uygulamasının Bağlayıcı Alanı Nesne Özellikleri iletişim kutusundaki Dışarı Aktarma Hatası sekmesinin ekran görüntüsü.

Neden

şirket içi Active Directory bağlayıcı hesabının (MSOL_<hex-digits>) Active Directory'de Nesnenin Microsoft Entra Kimliği ile eşitlenen özelliklerini geri yazma izinleri yoktur.

Çözüm 1: Microsoft Entra Connect Sorun Giderme konsolunu kullanarak izinler verme

Not

Bu çözüm önerilen ve tercih edilen yöntemdir.

şirket içi Active Directory bağlayıcı hesabında ()MSOL_<hex-digits> bu hesabın izinlerine sahip olmadığı öznitelikleri bulun. Ardından, aşağıdaki bölümlerde açıklandığı gibi Microsoft Entra Connect Sorun Giderme konsolunda izinleri vermek için Microsoft Entra Connect sihirbazını kullanın.

1. Bölüm: Hangi şirket içi Active Directory bağlayıcı hesabının kullanımda olduğunu belirleme

Şirket içi AD bağlayıcı hesabını bulmak için aşağıdaki araçlardan birini kullanın.

Microsoft Entra Connect sihirbazı

  1. Windows masaüstünde Microsoft Entra Connect simgesine çift tıklayarak Microsoft Entra Connect sihirbazını açın.

  2. Microsoft Entra Connect iletişim kutusunda Yapılandır düğmesini seçin.

  3. Ek görevler ekranında Geçerli yapılandırmayıgörüntüle veya dışarı aktar görevini seçin ve ardından İleri düğmesini seçin.

  4. Çözümünüzü gözden geçirin ekranında Eşitlenmiş Dizinler başlığını bulun ve ardından ACCOUNT alanı değerinin içinden dizeyi kopyalayın. Varsayılan olarak, otomatik olarak oluşturulan hesap biçimindedir DOMAIN\MSOL_<hex-digits>.

  5. Çıkış düğmesini seçin.

Eşitleme Hizmeti Yöneticisi uygulaması

  1. Başlat'ı seçin ve ardından Eşitleme Hizmeti Yöneticisi'ni arayıp seçin.

  2. Eşitleme Hizmeti Yöneticisi uygulamasında Bağlayıcılar sekmesini seçin.

  3. Bağlayıcılar listesinde, şirket içi Active Directory bağlayıcısının Ad değerine sağ tıklayın ve özellikler'i seçin.

  4. Özellikler iletişim kutusunda Bağlayıcı Tasarımcısı bölmesini bulun ve Ardından Active Directory Ormanına Bağlan'ı seçin.

  5. Active Directory Ormanına Bağlan bölmesinde, Kullanıcı adı alanının değerini kopyalayın. Bu değer, şirket içi Active Directory bağlayıcı hesabının adını içerir.

PowerShell'de ADSyncTools modülü

ADSyncTools modülü PowerShell ortamınızda zaten yüklü değilse bu modülü yükleyin. Modül yüklendikten sonra cmdlet'ini Get-ADSyncToolsADconnectorAccount çalıştırın:

Install-Module ADSyncTools  # Not required if the ADSyncTools module is already installed
Get-ADSyncToolsADconnectorAccount

Çıktı, her Active Directory bağlayıcı hesabı için , Forest, Domainve Username sütunlarını görüntüleyen Namebir tablodur. Kopyalamak istediğiniz metin dizesi sütundadır Username .


Name             Forest            Domain                 Username
----             ------            ------                 --------
corp.contoso.com corp.contoso.com  domain.contoso.com     MSOL__<hex-digits>
test.local       test.local        test.local             MSOL__<hex-digits>

2. Bölüm: şirket içi Active Directory bağlayıcı hesabının hangi özniteliklerde izinlere sahip olmadığını belirleme

  1. Başlat'ı seçin ve ardından Eşitleme Hizmeti Yöneticisi'ni arayıp seçin.

  2. Eşitleme Hizmeti Yöneticisi uygulamasında İşlemler sekmesini seçin.

  3. Bağlayıcı İşlemleri tablosunda aşağıdaki özelliklere sahip satırı seçin.

    Sütun adı Değer
    Ad şirket içi Active Directory bağlayıcısının adı
    Profil Adı Dışarı aktarma
    Statü completed-export-errors

  4. Sağ alttaki tabloda, ilk sütunda (Dışarı Aktarma Hataları etiketli) ikinci sütundaki hatalardan biri olarak izin sorununun listelendiği bir nesne seçin.

  5. Bağlayıcı Alanı Nesne Özellikleri iletişim kutusunda Bekleyen Dışarı Aktarma sekmesini seçin.

  6. Öznitelik bilgileri tablosunu bulun ve değişiklikler sütununu seçerek bu sütuna göre sıralayın.

    Öznitelik bilgileri tablosunun, Dışarı Aktarma Bekleniyor sekmesinin, Bağlayıcı Alanı Nesne Özellikleri iletişim kutusunun, Eşitleme Hizmeti Yöneticisi uygulamasının ekran görüntüsü.

  7. Aşağıdaki yöntemlerden birini izleyerek kullandığınız Microsoft Entra Connect özelliğini belirleyin:

    • Kaynak tutturucu olarak 'mS-DS-ConsistencyGuid' özniteliği kullanılırken, eklenen öznitelik mS-DS-ConsistencyGuid özniteliği olacaktır.

    • Eşitlenecek Exchange karma geri yazma özniteliklerinin listesini gözden geçirin ve ardından ADSync'in eklemeye veya değiştirmeye çalıştığı Exchange karma geri yazma özniteliğini bulmak için Öznitelik bilgileri tablosu kullanıcı arabirimine dönün. Örneğin, eklenen veya değiştirilen öznitelik msDS-ExternalDirectoryObjectID özniteliği olabilir.

    • Aşağıdaki kodda gösterildiği gibi bir PowerShell oturumundan cmdlet'ini çalıştırarak Get-ADSyncGlobalSettings Microsoft Entra Connect özelliklerini denetleyin:

      (Get-ADSyncGlobalSettings).Parameters | select Name, Value | sort Name

Bölüm 3: Eksik izinleri verme

Önemli

Microsoft Entra Connect aracını çalıştırmak için kullanılan hesabın Tüm etki alanlarında Active Directory'ye izin vermesine izin verilmelidir. Genellikle, Active Directory ormanındaki tüm etki alanlarında yalnızca Kuruluş Yöneticisi'nin Etki Alanı Yöneticisi hakları vardır.

  1. Windows Masaüstü'nden Microsoft Entra Connect simgesine çift tıklayın.

  2. Microsoft Entra Connect iletişim kutusunda Yapılandır düğmesini seçin.

  3. Ek görevler bölmesinde Sorun giderme görevini ve ardından İleri düğmesini seçin.

  4. Microsoft Entra Connect'e Hoş Geldiniz Sorun Giderme sayfasında Başlat düğmesini seçerek bir konsolda sorun giderme menüsünü başlatın.

  5. Konsoldaki AADConnect Troubleshooting menüde, Active Directory Etki Alanı Hizmetleri (AD DS) bağlayıcı hesabı izinlerini yapılandırmak için 4 girin.

    ----------------------------------------AADConnect Troubleshooting-----------------------------------------

        Enter '1' - Troubleshoot Object Synchronization
        Enter '2' - Troubleshoot Password Hash Synchronization
        Enter '3' - Collect General Diagnostics
        Enter '4' - Configure AD DS Connector Account Permissions
        Enter '5' - Test Azure Active Directory Connectivity
        Enter '6' - Test Active Directory Connectivity
        Enter 'Q' - Quit

        Please make a selection: 4_

  6. Configure Permissions Menüde, ilgilendiğiniz seçeneği girin. Bu örnekte, Exchange Karma izinlerini ayarlamak için 4 girin.

    --------------------------------------------Configure Permissions------------------------------------------

        Enter '1' - Get AD Connector account
        Enter '2' - Get objects with inheritance disabled
        Enter '3' - Set basic read permissions
        Enter '4' - Set Exchange Hybrid permissions
        Enter '5' - Set Exchange mail public folder permissions
        Enter '6' - Set MS-DS-Consistency-Guid permissions
        Enter '7' - Set password hash sync permissions
        Enter '8' - Set password writeback permissions
        Enter '9' - Set restricted permissions
        Enter '10' - Set unified group writeback permissions
        Enter '11' - Show AD object permissions
        Enter '12' - Set default AD Connector account permissions
        Enter '13' - Compare object read permissions when running in context of AD Connector account vs Admin account
        Enter 'B' - Go back to main troubleshooting menu
        Enter 'Q' - Quit

        Please make a selection: 4_

  7. Account to Configure Ekranda, "Var olan bir bağlayıcı hesabını mı yoksa özel hesabı mı yapılandırmak istiyorsunuz?", iletisiyle sorulduğunda, var olan bağlayıcı hesabı için E girin (varsayılan yanıt):

    Account to Configure
Would you like to configure an existing connector account or a custom account?
[E] Existing Connector Account  [C] Custom Account  [?] Help (default is "E")  E_

  8. Configured connectors and their related accounts Ekranda, , ADConnectorForest, ADConnectorAccountNameve ADConnectorAccountDomain verilerini içeren ADConnectorNamesatırların listesini gördüğünüzde, yapılandırmak istediğiniz hesabın bağlayıcısının adını girin:

    Configured connectors and their related accounts:

ADConnectorName  ADConnectorForest ADConnectorAccountName ADConnectorAccountDomain
---------------- ----------------- ---------------------- ------------------------
corp.contoso.com corp.contoso.com  MSOL__<hex-digits>     domain.contoso.com
test.local       test.local        MSOL__<hex-digits>     test.local




Name of the connector who's account to configure: corp.contoso.com_

    Not: Bu ekranda " kim" sözcüğü gösterildiği gibi görünür, ancak "kimin" olmalıdır.

  9. Tüm alt nesneler için etki alanının kökündeki izinleri uygulamak için Enter'ı seçin veya izinlerin ayarlanacağı hedef nesneyi belirtin. Örneğin, kullanıcıların bulunduğu hedef kuruluş birimini (OU) belirtebilirsiniz:

    To set permissions for a single target object, enter the DistinguishedName of the target AD
object. Giving no input will set root permissions for all Domains in the Forest: _

  10. Update AdminSdHolders Ekranda, "Bu izinlerle güncelleştirirken AdminSDHolder kapsayıcısı güncelleştirilsin mi?" sorulduğunda, yalnızca Active Directory'deki Korumalı Hesapları Microsoft Entra Id ile eşitliyorsanız için Yes Y girin. Aksi takdirde, için No N girin (varsayılan yanıt).

    Update AdminSdHolders
Update AdminSDHolder container when updating with these permissions?
[Y] Yes  [N] No  [?] Help (default is "N"): _

    Not

    Şirket içi AD yönetici hesaplarınızı Microsoft Entra Id ile eşitlemenizi öneririz. Daha fazla bilgi için Microsoft Entra self servis parola sıfırlama dağıtımı planlama bölümünün Yönetici parolası ayarı bölümüne bakın.

  11. Confirm Seçiminizi onaylamak için Yes ekrana Y girin (varsayılan yanıt):

    Confirm
Are you sure you want to perform this action?
Performing the operation "Grant Exchange Hybrid permissions" on target "corp.contoso.com"
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y_

Çözüm 2: PowerShell'de ADSyncConfig modülünü kullanarak izinler verme

Not

Bu çözüm ayrıca önerilen bir yöntemdir.

Bu çözüm hakkında bilgi için Microsoft Entra Connect: AD DS bağlayıcı hesabı izinlerini yapılandırma makalesinin "ADSyncConfig PowerShell modülünü kullanma" bölümüne bakın.

Çözüm 3: Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini kullanarak izinler verme

Uyarı

Bu yöntemi kullanarak Active Directory'de izinleri el ile verirseniz, bu eylem beklenmeyen sonuçlara neden olabilecek izinlerin yetersiz olduğuna neden olabilir.

  1. Uygun Etki Alanı Yöneticisi izinlerine sahip bir hesapta Başlat'ı seçin ve ardından Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini (dsa.msc) arayıp seçin.

  2. Görünüm menüsünde, Gelişmiş özellikler'in yanında onay işareti gösterilmiyorsa, gelişmiş özellikleri görüntüleyebilmek için bu menü öğesini seçin.

  3. Konsol ağacında, etki alanının kökünü temsil eden nesneyi bulun. Bu nesneye sağ tıklayın ve özellikler'i seçin.

  4. Özellikler iletişim kutusunda Güvenlik sekmesini ve ardından Gelişmiş düğmesini seçin.

  5. Gelişmiş Güvenlik Ayarları iletişim kutusunda İzinler sekmesini ve ardından Ekle düğmesini seçin.

  6. İzin Girdisi iletişim kutusunda, aşağıdaki tabloda açıklandığı gibi ayarları girin.

    Ayar Eylem
    Asıl ad Sorumlu seçin bağlantısını seçin. İzinlerin uygulanacağı hesabın adını girin (Microsoft Entra Connect'in kullandığı hesap) ve ardından Tamam'ı seçin.
    Tür listesi İzin ver'i seçin.
    Listeye uygulanır Seçili sorumlu için izin verilen izinlerin listesini göstermek için Alt Kullanıcı nesneleri'ni seçin.
    Özellikler seçenekleri İstediğiniz her izin özelliği seçeneği için onay kutusunu işaretleyin. İhtiyacınız olan öznitelikleri bulmak için özellik listesini kaydırın. Özellik seçeneği adları Tüm özellikleri oku, Tüm özellikleri yaz, Read msDS-OperationsForAzTaskBL, Read msDS-parentdistname vb. içerebilir.

    Active Directory Kullanıcıları ve Bilgisayarları ek bileşenindeki İzin Girdisi iletişim kutusunun ekran görüntüsü.

  7. İletişim kutularında çıkmak ve değişiklikleri uygulamak için Tamam düğmesini üç kez seçin.

Çözüm 4: dsacls aracını kullanarak izinler verme

Uyarı

Bu yöntemi kullanarak Active Directory'de izinleri el ile verirseniz, bu eylem beklenmeyen sonuçlara neden olabilecek izinlerin yetersiz olduğuna neden olabilir.

Etki alanının kökündeki tüm nesnelerin tüm özelliklerini tüm alt nesnelerine okuma ve yazma izinleri vermek için aşağıdaki dsacls komutunu çalıştırın:

dsacls.exe "DC=Contoso,DC=com" /G "CONTOSO\ADConnectAccount:RPWP;;" /I:S

Bu komutta, DC=Contoso,DC=com etki alanınızın ayırt edici adıdır ve CONTOSO\ADConnectAccount Microsoft Entra Connect'in kullandığı etki alanı hesabıdır.

Bilinen sorunlar

Aşağıdaki tabloda, izin sorunu hatalarıyla karşılaşan ancak şu anda listelenen çözümler tarafından düzeltilebilen bilinen sorunlar listelenmiştir.

Koşul Etki
Kullanıcı artık Korumalı Grubun üyesi olmasa bile, bir kullanıcının AdminCount özniteliği sıfırdan büyük. Yeni izinler uygulanmadığından beklenmeyen eşitleme sonuçları veya izin sorunu hataları görürsünüz.
Active Directory'de SDProp sorunları vardır. Active Directory, etki alanındaki tüm alt nesneler için yeni izinleri yayamadığından, bir çözüm uyguladıktan sonra izin sorunu hatası devam eder.

Yardım için bize ulaşın

Sorularınız veya yardıma ihtiyacınız varsa bir destek isteği oluşturun veya Azure topluluk desteği isteyin. Ürün geri bildirimini Azure geri bildirim topluluğuna da gönderebilirsiniz.