Hoy vamos a ver como solucionar un error que comúnmente surge durante la migración a Exchange Online o a Office 365 es el temido error "derechos de acceso suficientes". Generalmente eso ocurre mostrando el siguiente mensaje –puede que aparezca de otra forma también-:

Warning: Unable to update Active Directory information for the source mailbox at the end of the move. Error details: An error occurred while updating a user object after the move operation.

–> Active Directory operation failed on casserver.domain.com. This error is not retriable. Additional information: Insufficient access rights to perform the operation.

Active directory response: 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

–> The user has insufficient access rights.

Su cuenta de servicio de la migración es un miembro de la Org Admins, Recipient Admins, Domain Admins. Entonces, ¿Cuál puede ser el problema? Como resultado, esto usualmente es un error con respecto a la herencia de permisos. Los problemas de la herencia de permisos han causado que más de una migración falle. Mientras que la herencia de permisos puede ser desactivada debido a una variedad de cosas, las dos mayores causas son:

En cualquier caso, Exchange Sever está esperando un permiso especial, y cuando no esta, no es capaz de actualizar el objeto de usuario después de una migración. Gracias a Aaron Guilmette podemos encontrar en uno de los sitios de Microsoft (https://gallery.technet.microsoft.com/) un script para encontrar y corregir los objetos de Active Directory con la herencia de permisos deshabilitados. Además, este script nos informará sobre los objetos que tienen la propiedad adminSDHolder aplicada, por lo que sabremos cuáles son (o eran) los miembros de los grupos protegidos.

Si un objeto está protegido por adminSDHolder, se observará en el archivo de salida. Los objetos protegidos por adminSDHolder se resetearan cuando SDProp se ejecuta de nuevo, así que asegúrese de revisar esta columna del archivo de registro para ver si su objeto cae en esa categoría.

Seguramente querrá comprobar si la cuenta es miembro de un grupo protegido. Si no es un miembro de uno (o más), querrá borrar el atributo adminCount en el objeto de usuario y vuelva a ejecutar la secuencia de comandos o manualmente restablecer la herencia de permisos.

www.radians.com.ar www.radians.com.ar

Mas información:

Saludos. Roberto Di Lello

Hoy vamos a ver como solucionar un error que comúnmente surge durante la migración a Exchange Online o a Office 365 es el temido error "derechos de acceso suficientes". Generalmente eso ocurre mostrando el siguiente mensaje –puede que aparezca de otra forma también-:

Warning: Unable to update Active Directory information for the source mailbox at the end of the move. Error details: An error occurred while updating a user object after the move operation.

–> Active Directory operation failed on casserver.domain.com. This error is not retriable. Additional information: Insufficient access rights to perform the operation.

Active directory response: 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

–> The user has insufficient access rights.

Su cuenta de servicio de la migración es un miembro de la Org Admins, Recipient Admins, Domain Admins. Entonces, ¿Cuál puede ser el problema? Como resultado, esto usualmente es un error con respecto a la herencia de permisos. Los problemas de la herencia de permisos han causado que más de una migración falle. Mientras que la herencia de permisos puede ser desactivada debido a una variedad de cosas, las dos mayores causas son:

En cualquier caso, Exchange Sever está esperando un permiso especial, y cuando no esta, no es capaz de actualizar el objeto de usuario después de una migración. Gracias a Aaron Guilmette podemos encontrar en uno de los sitios de Microsoft (https://gallery.technet.microsoft.com/) un script para encontrar y corregir los objetos de Active Directory con la herencia de permisos deshabilitados. Además, este script nos informará sobre los objetos que tienen la propiedad adminSDHolder aplicada, por lo que sabremos cuáles son (o eran) los miembros de los grupos protegidos.

Si un objeto está protegido por adminSDHolder, se observará en el archivo de salida. Los objetos protegidos por adminSDHolder se resetearan cuando SDProp se ejecuta de nuevo, así que asegúrese de revisar esta columna del archivo de registro para ver si su objeto cae en esa categoría.

Seguramente querrá comprobar si la cuenta es miembro de un grupo protegido. Si no es un miembro de uno (o más), querrá borrar el atributo adminCount en el objeto de usuario y vuelva a ejecutar la secuencia de comandos o manualmente restablecer la herencia de permisos.

www.radians.com.ar www.radians.com.ar

Mas información:

Saludos. Roberto Di Lello

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

2 thoughts on “Como realizar la busqueda de objetos de Active Directory que tengan la herencia rota/deshabilitada (Broken Object Inheritance)”
  1. Hola
    como estas
    tengo una duda, estoy tratando de hacer una migracion de carpetas compartidas. de un windows server 2003 a server 2012 con robocopy, pero en mas de 1GB cierra todas las ventanas y no copia nada

  2. Hola Avio Sadly, muchas gracias por participar del blog. Disculpa la demora, realmente tenia medio olvidado el facebook, ya que siempre le doy prioridad al BLOG. Te cuento que lo que quieres hacer no deberia ser muy complejo. Lo unico que debes tener encuenta es ejecutarlo con elevacion de permisos, es decir, “como administrador” y listo. Lo que puede hacer es abrir un cmd como administrador, con una cuenta administrador y luego ejecutar el robocopy, ahi podras ver rapidamente si esta funcionando o no. No tiene impacto el tamaño de los archivos.

    Te paso un documento donde detalla el paso a paso de como hacerlo: Migración de datos con ROBOCOPY… https://www.radians.com.ar/blog/?p=816

    Te pido por favor que me ayudes a difundir el blog, y que tambien si podes o sabes de alguien que quiera colaborar esta disponible la opcion para hacer donaciones por paypal. disculpa que lo plantee asi, pero realmente se me han incrementado los costos del sitio (en argentina la economia esta dificil) y no recibo ayuda de nadie para mantenerlo.

    Saludos, y te invito a seguir participando del blog y su contenido. Roberto DL

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.