Bu makale için Azure AD Connect Problem Error 8344 Insufficient Access Rights to Perform the Operation problemi ve çözümü paylaşılmaktadır ve bu makale içinde aşağıda ki başlıklar paylaşışmıştır.
Azure AD Connect ile Onpremise olarak bilinen yerel veri merkezi içinde ki Domain Controller sunucuları ile Azure Entra Domain ortamına kullanıcı eşitleme yapmak istediğiniz zaman aşağıda ki hatayı alabilirsiniz.
Azure AD Connect Problem Error 8344
Azure AD Connect Error 8344 hatası bir izin problemidir ve bu bu izin probleminin birden fazla nedeni bulunmaktadır. Almış olduğumuz hata kaynağının açıklaması aşağıda paylaşılmıştır.
- Hata : izin sorunu
- Bağlı veri kaynağı hata kodu : 8344
- Bağlı veri kaynağı hatası : Bu işlemi gerçekleştirmek için yetersiz erişim hakları.
Azure AD Connect Error 8344 hatası için çözümler sıralı bir şekilde aşağıda paylaşmıştır ve sizler de kendi ortamınız için uygun çözümü uygulayabilirsiniz.
1. Azure AD Connect Servis Hesabı
Azure AD Connect Servis hesabı herzaman için bir domain user olması önerilmektedir. Eskiden yapabiliyorduk fakat son sürüm ile birlikte Domain Admin grubuna sahip bir kullanıcı ile Azure ad connect sync service hesabı olamıyor.
ad connect sync service manager
Azure ad connect sync service hesabı bir domain user olması gerekmektedir ve bu hesabı sonradan da değiştirebilirsiniz. Bu hesap bir servis hesabı olduğu için zaman içinde parolası da değişebilir ve bu değişen parolayı da Azure ad connect sync manager ile güncellemeniz gerekmektedir.
Azure ad connect sync servis üzerinde Synchronization Service Manager arayüzüne gelip bu bölümde Active Directory Domain Services bölümünü açıyoruz.
Azure ad connect services Accont
Daha önceden oluşturmuş olduğunuz yada sonrada belirlediğiniz Azure ad connect services Accont bilgilerini Azure ad connect sync service tekrardan hatırlatıyoruz, bilgileri güncel duruma getiriyoruz.
Azure ad connect services hesabı kaynaklı Azure AD Connect Problem Error 8344 Insufficient Access Rights to Perform the Operation hatasını böylece çözüme kavuşturabiliriz.
Azure ad connect services hesabını güncelleme yaptıktan sonra Azure AD Connect servislerini yeniden başlatmamız gerekmektedir.
2. Azure ad connect services Accont permission
Azure ad connect üzerinde servis hesabını değiştirmiş olabilirsiniz yada ilk kurulum sırasında ön gereksinim olan izinleri vermemiş olabilirsiniz. Azure ad connect servis manager bu izinler olmadan da kurulabildiği için Azure ad connect kurulum işlemlerinde hatada almamış olabilirsiniz.
ve bu nedenlerden ötürü de Azure AD Connect Problem Error 8344 Insufficient Access Rights to Perform the Operation hatasına sahip olabilirsiniz.
Bildiğiniz gibi Azure ad connect yazılımı onpremise olarak bilinen yerel veri merkezi içinde ki Domain Controller sunucusu üzerinde barınan kullanıcıları Azure Entra Domain ‘e eşitlemektedir. Bu eşitleme işlemi yaparken de Domain Controller sunucuları üzerinde kullanıcıları okuma hakkına sahip olmalıdır.
Domain Admin grubuna sahip bir kullanıcı bu haklara zaten sahip durumda fakat Azure ad connect yazılımı artık Domain Admin hesabı ile kurulamıyor ve bu nedenle ihtiyaç duyduğu izinleri el ile vermemiz gerekmektedir.
Azure ad connect services Accont permission
Active Directory dizin hizmetimiz üzerinde en tepede özelliklere giriş yapıyoruz ve Azure ad connect üzerinde servis hesabına ihtiyaç duyduğu Read haklarını veriyoruz.
Active Directory dizin hizmetimiz üzerinde en tepede diyorum fakat sizler Active Directory içinde sadece belirli bir OU ‘yu Onpremise Active Directory ‘den Azure Entra Domain ‘e eşitleme yapıyorsanız bu izni ilgili OU içinde verebilirsiniz.
Yukarıda ki işlemi yaptıktan sonra aşağıda paylaşmış olduğum Power shell komutunu Active Direcotory Modul for Windows Power Shell aracı ile çalıştırmanız gerekmektedir.
Yukarıda paylaşmış olduğum komut a.local domain için oluşturulmuş olup sizler de domain bilgisi ve Azure ad connectservis hesabı bilgilerini değiştirerek kendi ortamınız için çalıştırabilirsiniz.
Bu komut Azure AD Connect Servisi için ihtiyaç duyduğu izinleri verecektir.
Azure AD Connect Special Access Permission
Active Direcotory Modul for Windows Power Shell aracı ile yukarıda paylaşmış olduğum komutu çalıştırdıktan sonra çıktı sonucu yukarıda ki ekran görüntüsünde ki gibi oluşacaktır.
3. Domain Controller Builtins Accounts
Azure ad connectservis hesabı domain admin grubunun üyesi olamıyor ama bu domain user hesabını Domain Controller sunucusu üzerinde Builtins Administrator grubunun üyesi yapabiliyoruz.
Domain Controller Builtins Accounts
Pera Bilgi Sistemleri proaktif hizmetler çerçevesinde gerçekleştirmiş olduğumuz Active Directory Proaktif Services ve Active Directory Proaktif Services for Security hizmetlerinde bu adımlara dikkat etmekteyiz.
Bu izinler özel izinler ve Azure AD Connec yazılımının sağlıklı çalışması için belirli bir domain controller üzerinde bu ayrıcalıklı izinleri vermekte ve Azure AD Connec sunucusunun bu AD ile birlikte çalışmasını sağlamaktayız.
Bir diğer benzer izin ise Azure AD Connect yazılımının yüklenmiş olduğu sunucu üzerinde Azure AD Connect servis hesabının yerel yönetici olarak atama işlemidir.
4. Enable inheritance permission
Azure AD Connect servis hesabı için varsayılan izinler uygulanır ve bazı durumlarlar da bu var sayılan izinler Azure AD Connect yazılımının sağlıklı çalışmasına engel olur.
Enable inheritance permission
özel izinlerin uygulanmış olduğu organizasyonlarda Enable inheritance permission özelliğinin kaldırılması ve yukarıdan gelecek olan özel izinlerin Azure AD Connect servis hesabına uygulanması engellenir.
Bu makale içinde Azure AD Connect Problem Error 8344 Insufficient Access Rights to Perform the Operation problemi ve çözümleri paylaşışmıştır.
