Hoy vamos a ver como solucionar un error que comúnmente surge durante la migración a Exchange Online o a Office 365 es el temido error "derechos de acceso suficientes". Generalmente eso ocurre mostrando el siguiente mensaje –puede que aparezca de otra forma también-:
Warning: Unable to update Active Directory information for the source mailbox at the end of the move. Error details: An error occurred while updating a user object after the move operation.
–> Active Directory operation failed on casserver.domain.com. This error is not retriable. Additional information: Insufficient access rights to perform the operation.
Active directory response: 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
–> The user has insufficient access rights.
Su cuenta de servicio de la migración es un miembro de la Org Admins, Recipient Admins, Domain Admins. Entonces, ¿Cuál puede ser el problema? Como resultado, esto usualmente es un error con respecto a la herencia de permisos. Los problemas de la herencia de permisos han causado que más de una migración falle. Mientras que la herencia de permisos puede ser desactivada debido a una variedad de cosas, las dos mayores causas son:
- Delegación de Permisos/ requerimeintos de “Seguridad”, para que tengan menos restricciones las cuentas sensibles –nótese seguridad entre comillas-
- adminSDHolder ( https://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx )
En cualquier caso, Exchange Sever está esperando un permiso especial, y cuando no esta, no es capaz de actualizar el objeto de usuario después de una migración. Gracias a Aaron Guilmette podemos encontrar en uno de los sitios de Microsoft (https://gallery.technet.microsoft.com/) un script para encontrar y corregir los objetos de Active Directory con la herencia de permisos deshabilitados. Además, este script nos informará sobre los objetos que tienen la propiedad adminSDHolder aplicada, por lo que sabremos cuáles son (o eran) los miembros de los grupos protegidos.
Si un objeto está protegido por adminSDHolder, se observará en el archivo de salida. Los objetos protegidos por adminSDHolder se resetearan cuando SDProp se ejecuta de nuevo, así que asegúrese de revisar esta columna del archivo de registro para ver si su objeto cae en esa categoría.
Seguramente querrá comprobar si la cuenta es miembro de un grupo protegido. Si no es un miembro de uno (o más), querrá borrar el atributo adminCount en el objeto de usuario y vuelva a ejecutar la secuencia de comandos o manualmente restablecer la herencia de permisos.
Mas información:
Saludos. Roberto Di Lello
Hoy vamos a ver como solucionar un error que comúnmente surge durante la migración a Exchange Online o a Office 365 es el temido error "derechos de acceso suficientes". Generalmente eso ocurre mostrando el siguiente mensaje –puede que aparezca de otra forma también-:
Warning: Unable to update Active Directory information for the source mailbox at the end of the move. Error details: An error occurred while updating a user object after the move operation.
–> Active Directory operation failed on casserver.domain.com. This error is not retriable. Additional information: Insufficient access rights to perform the operation.
Active directory response: 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
–> The user has insufficient access rights.
Su cuenta de servicio de la migración es un miembro de la Org Admins, Recipient Admins, Domain Admins. Entonces, ¿Cuál puede ser el problema? Como resultado, esto usualmente es un error con respecto a la herencia de permisos. Los problemas de la herencia de permisos han causado que más de una migración falle. Mientras que la herencia de permisos puede ser desactivada debido a una variedad de cosas, las dos mayores causas son:
- Delegación de Permisos/ requerimeintos de “Seguridad”, para que tengan menos restricciones las cuentas sensibles –nótese seguridad entre comillas-
- adminSDHolder ( https://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx )
En cualquier caso, Exchange Sever está esperando un permiso especial, y cuando no esta, no es capaz de actualizar el objeto de usuario después de una migración. Gracias a Aaron Guilmette podemos encontrar en uno de los sitios de Microsoft (https://gallery.technet.microsoft.com/) un script para encontrar y corregir los objetos de Active Directory con la herencia de permisos deshabilitados. Además, este script nos informará sobre los objetos que tienen la propiedad adminSDHolder aplicada, por lo que sabremos cuáles son (o eran) los miembros de los grupos protegidos.
Si un objeto está protegido por adminSDHolder, se observará en el archivo de salida. Los objetos protegidos por adminSDHolder se resetearan cuando SDProp se ejecuta de nuevo, así que asegúrese de revisar esta columna del archivo de registro para ver si su objeto cae en esa categoría.
Seguramente querrá comprobar si la cuenta es miembro de un grupo protegido. Si no es un miembro de uno (o más), querrá borrar el atributo adminCount en el objeto de usuario y vuelva a ejecutar la secuencia de comandos o manualmente restablecer la herencia de permisos.
Mas información:
Saludos. Roberto Di Lello
Hola
como estas
tengo una duda, estoy tratando de hacer una migracion de carpetas compartidas. de un windows server 2003 a server 2012 con robocopy, pero en mas de 1GB cierra todas las ventanas y no copia nada
Hola Avio Sadly, muchas gracias por participar del blog. Disculpa la demora, realmente tenia medio olvidado el facebook, ya que siempre le doy prioridad al BLOG. Te cuento que lo que quieres hacer no deberia ser muy complejo. Lo unico que debes tener encuenta es ejecutarlo con elevacion de permisos, es decir, “como administrador” y listo. Lo que puede hacer es abrir un cmd como administrador, con una cuenta administrador y luego ejecutar el robocopy, ahi podras ver rapidamente si esta funcionando o no. No tiene impacto el tamaño de los archivos.
Te paso un documento donde detalla el paso a paso de como hacerlo: Migración de datos con ROBOCOPY… https://www.radians.com.ar/blog/?p=816
Te pido por favor que me ayudes a difundir el blog, y que tambien si podes o sabes de alguien que quiera colaborar esta disponible la opcion para hacer donaciones por paypal. disculpa que lo plantee asi, pero realmente se me han incrementado los costos del sitio (en argentina la economia esta dificil) y no recibo ayuda de nadie para mantenerlo.
Saludos, y te invito a seguir participando del blog y su contenido. Roberto DL