{"id":3145,"date":"2016-06-09T16:30:44","date_gmt":"2016-06-09T19:30:44","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=3145"},"modified":"2018-01-16T17:11:35","modified_gmt":"2018-01-16T20:11:35","slug":"como-realizar-la-busqueda-de-objetos-de-active-directory-que-tengan-la-herencia-rotadeshabilitada-broken-object-inheritance","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=3145","title":{"rendered":"Como realizar la busqueda de objetos de Active Directory que tengan la herencia rota\/deshabilitada (Broken Object Inheritance)"},"content":{"rendered":"<p align=\"justify\">Hoy vamos a ver como solucionar un error que com\u00fanmente surge durante la migraci\u00f3n a Exchange Online o a Office 365 es el temido error &quot;<font color=\"#ff8000\" size=\"3\">derechos de acceso suficientes<\/font>&quot;. Generalmente eso ocurre mostrando el siguiente mensaje \u2013puede que aparezca de otra forma tambi\u00e9n-:<\/p>\n<p align=\"justify\"><font color=\"#ff0000\" size=\"3\" face=\"OCR A Extended\">Warning: Unable to update Active Directory information for the source mailbox at the end of the move. Error details: An error occurred while updating a user object after the move operation.<br \/>\n    <br \/>\u2013&gt; Active Directory operation failed on casserver.domain.com. This error is not retriable. Additional information: Insufficient access rights to perform the operation.<\/p>\n<p>Active directory response: 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 <\/p>\n<p>\u2013&gt; The user has insufficient access rights.<\/font><\/p>\n<p align=\"justify\">Su cuenta de servicio de la migraci\u00f3n es un miembro de la Org Admins, Recipient Admins, Domain Admins. Entonces, \u00bfCu\u00e1l puede ser el problema? Como resultado, esto usualmente es un error con respecto a la herencia de permisos. Los problemas de la herencia de permisos han causado que m\u00e1s de una migraci\u00f3n falle. Mientras que la herencia de permisos puede ser desactivada debido a una variedad de cosas, las dos mayores causas son:<\/p>\n<ul>\n<li>Delegaci\u00f3n de Permisos\/ requerimeintos de \u201cSeguridad\u201d, para que tengan menos restricciones las cuentas sensibles \u2013n\u00f3tese seguridad entre comillas-<\/li>\n<li><font color=\"#ff0000\" face=\"OCR A Extended\">adminSDHolder <\/font>( <a href=\"https:\/\/technet.microsoft.com\/en-us\/magazine\/2009.09.sdadminholder.aspx\">https:\/\/technet.microsoft.com\/en-us\/magazine\/2009.09.sdadminholder.aspx<\/a> )<\/li>\n<\/ul>\n<p align=\"justify\">En cualquier caso, Exchange Sever est\u00e1 esperando un permiso especial, y cuando no esta, no es capaz de actualizar el objeto de usuario despu\u00e9s de una migraci\u00f3n. Gracias a <a href=\"https:\/\/social.technet.microsoft.com\/profile\/aaron%20guilmette\/\">Aaron Guilmette<\/a> podemos encontrar en uno de los sitios de Microsoft (<a title=\"https:\/\/gallery.technet.microsoft.com\/\" href=\"https:\/\/gallery.technet.microsoft.com\/\">https:\/\/gallery.technet.microsoft.com\/<\/a>) un script para encontrar y corregir los objetos de Active Directory con la herencia de permisos deshabilitados. Adem\u00e1s, este script nos informar\u00e1 sobre los objetos que tienen la propiedad <font color=\"#ff0000\" face=\"OCR A Extended\">adminSDHolder <\/font>aplicada, por lo que sabremos cu\u00e1les son (o eran) los miembros de los grupos protegidos.<\/p>\n<p align=\"justify\">Si un objeto est\u00e1 protegido por <font color=\"#ff0000\" face=\"OCR A Extended\">adminSDHolder<\/font>, se observar\u00e1 en el archivo de salida. Los objetos protegidos por <font color=\"#ff0000\" face=\"OCR A Extended\">adminSDHolder <\/font>se resetearan cuando SDProp se ejecuta de nuevo, as\u00ed que aseg\u00farese de revisar esta columna del archivo de registro para ver si su objeto cae en esa categor\u00eda. <\/p>\n<p>Seguramente querr\u00e1 comprobar si la cuenta es miembro de un grupo protegido. Si no es un miembro de uno (o m\u00e1s), querr\u00e1 borrar el atributo adminCount en el objeto de usuario y vuelva a ejecutar la secuencia de comandos o manualmente restablecer la herencia de permisos.<\/p>\n<p><a href=\"$1[4].png\"><img loading=\"lazy\" decoding=\"async\" title=\"www.radians.com.ar\" style=\"border-top: 0px; border-right: 0px; border-bottom: 0px; float: none; margin-left: auto; border-left: 0px; display: block; margin-right: auto\" border=\"0\" alt=\"www.radians.com.ar\" src=\"$1_thumb[2].png\" width=\"544\" height=\"78\" \/><\/a> <a href=\"$2[4].png\"><img loading=\"lazy\" decoding=\"async\" title=\"www.radians.com.ar\" style=\"border-top: 0px; border-right: 0px; border-bottom: 0px; float: none; margin-left: auto; border-left: 0px; display: block; margin-right: auto\" border=\"0\" alt=\"www.radians.com.ar\" src=\"$2_thumb[2].png\" width=\"544\" height=\"56\" \/><\/a><\/p>\n<h4>Mas informaci\u00f3n:<\/h4>\n<ul>\n<li>\n<div align=\"justify\"><a href=\"https:\/\/gallery.technet.microsoft.com\/Find-and-Fix-Broken-Object-5ae18ab1\">Find and Fix Broken Object Inheritance<\/a><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><a href=\"https:\/\/blogs.technet.microsoft.com\/undocumentedfeatures\/2015\/12\/03\/finding-active-directory-objects-with-inheritance-disabled\/\">Finding Active Directory objects with Inheritance Disabled<\/a><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\">Saludos. Roberto Di Lello<\/p>\n<p align=\"justify\">Hoy vamos a ver como solucionar un error que com\u00fanmente surge durante la migraci\u00f3n a Exchange Online o a Office 365 es el temido error &quot;<font color=\"#ff8000\" size=\"3\">derechos de acceso suficientes<\/font>&quot;. Generalmente eso ocurre mostrando el siguiente mensaje \u2013puede que aparezca de otra forma tambi\u00e9n-:<\/p>\n<p align=\"justify\"><font color=\"#ff0000\" size=\"3\" face=\"OCR A Extended\">Warning: Unable to update Active Directory information for the source mailbox at the end of the move. Error details: An error occurred while updating a user object after the move operation.<br \/>\n    <br \/>\u2013&gt; Active Directory operation failed on casserver.domain.com. This error is not retriable. Additional information: Insufficient access rights to perform the operation.<\/p>\n<p>Active directory response: 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 <\/p>\n<p>\u2013&gt; The user has insufficient access rights.<\/font><\/p>\n<p align=\"justify\">Su cuenta de servicio de la migraci\u00f3n es un miembro de la Org Admins, Recipient Admins, Domain Admins. Entonces, \u00bfCu\u00e1l puede ser el problema? Como resultado, esto usualmente es un error con respecto a la herencia de permisos. Los problemas de la herencia de permisos han causado que m\u00e1s de una migraci\u00f3n falle. Mientras que la herencia de permisos puede ser desactivada debido a una variedad de cosas, las dos mayores causas son:<\/p>\n<ul>\n<li>Delegaci\u00f3n de Permisos\/ requerimeintos de \u201cSeguridad\u201d, para que tengan menos restricciones las cuentas sensibles \u2013n\u00f3tese seguridad entre comillas-<\/li>\n<li><font color=\"#ff0000\" face=\"OCR A Extended\">adminSDHolder <\/font>( <a href=\"https:\/\/technet.microsoft.com\/en-us\/magazine\/2009.09.sdadminholder.aspx\">https:\/\/technet.microsoft.com\/en-us\/magazine\/2009.09.sdadminholder.aspx<\/a> )<\/li>\n<\/ul>\n<p align=\"justify\">En cualquier caso, Exchange Sever est\u00e1 esperando un permiso especial, y cuando no esta, no es capaz de actualizar el objeto de usuario despu\u00e9s de una migraci\u00f3n. Gracias a <a href=\"https:\/\/social.technet.microsoft.com\/profile\/aaron%20guilmette\/\">Aaron Guilmette<\/a> podemos encontrar en uno de los sitios de Microsoft (<a title=\"https:\/\/gallery.technet.microsoft.com\/\" href=\"https:\/\/gallery.technet.microsoft.com\/\">https:\/\/gallery.technet.microsoft.com\/<\/a>) un script para encontrar y corregir los objetos de Active Directory con la herencia de permisos deshabilitados. Adem\u00e1s, este script nos informar\u00e1 sobre los objetos que tienen la propiedad <font color=\"#ff0000\" face=\"OCR A Extended\">adminSDHolder <\/font>aplicada, por lo que sabremos cu\u00e1les son (o eran) los miembros de los grupos protegidos.<\/p>\n<p align=\"justify\">Si un objeto est\u00e1 protegido por <font color=\"#ff0000\" face=\"OCR A Extended\">adminSDHolder<\/font>, se observar\u00e1 en el archivo de salida. Los objetos protegidos por <font color=\"#ff0000\" face=\"OCR A Extended\">adminSDHolder <\/font>se resetearan cuando SDProp se ejecuta de nuevo, as\u00ed que aseg\u00farese de revisar esta columna del archivo de registro para ver si su objeto cae en esa categor\u00eda. <\/p>\n<p>Seguramente querr\u00e1 comprobar si la cuenta es miembro de un grupo protegido. Si no es un miembro de uno (o m\u00e1s), querr\u00e1 borrar el atributo adminCount en el objeto de usuario y vuelva a ejecutar la secuencia de comandos o manualmente restablecer la herencia de permisos.<\/p>\n<p><a href=\"$1[4].png\"><img loading=\"lazy\" decoding=\"async\" title=\"www.radians.com.ar\" style=\"border-top: 0px; border-right: 0px; border-bottom: 0px; float: none; margin-left: auto; border-left: 0px; display: block; margin-right: auto\" border=\"0\" alt=\"www.radians.com.ar\" src=\"$1_thumb[2].png\" width=\"544\" height=\"78\" \/><\/a> <a href=\"$2[4].png\"><img loading=\"lazy\" decoding=\"async\" title=\"www.radians.com.ar\" style=\"border-top: 0px; border-right: 0px; border-bottom: 0px; float: none; margin-left: auto; border-left: 0px; display: block; margin-right: auto\" border=\"0\" alt=\"www.radians.com.ar\" src=\"$2_thumb[2].png\" width=\"544\" height=\"56\" \/><\/a><\/p>\n<h4>Mas informaci\u00f3n:<\/h4>\n<ul>\n<li>\n<div align=\"justify\"><a href=\"https:\/\/gallery.technet.microsoft.com\/Find-and-Fix-Broken-Object-5ae18ab1\">Find and Fix Broken Object Inheritance<\/a><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><a href=\"https:\/\/blogs.technet.microsoft.com\/undocumentedfeatures\/2015\/12\/03\/finding-active-directory-objects-with-inheritance-disabled\/\">Finding Active Directory objects with Inheritance Disabled<\/a><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\">Saludos. Roberto Di Lello<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hoy vamos a ver como solucionar un error que com\u00fanmente surge durante la migraci\u00f3n a&#8230;<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[158,281],"tags":[217,192,215],"class_list":["post-3145","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-windows-server-2012","category-281","tag-ad-domain-services","tag-script","tag-sbs-howto"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3145","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3145"}],"version-history":[{"count":1,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3145\/revisions"}],"predecessor-version":[{"id":3146,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3145\/revisions\/3146"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3145"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3145"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3145"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}