Why am I getting a connection error with Azure AD replication?

Løs Azure Sync Fejl: Utilstrækkelig Adgang

20/05/2026

Rating: 4.47 (3569 votes)

Mange IT-administratorer har oplevet frustrationen: Man åbner Azure Synchronization Service Manager for at tjekke status og bliver mødt af en række synkroniseringsfejl. En af de mest almindelige og forvirrende er fejlen Utilstrækkelige adgangsrettigheder (Insufficient access rights), ofte ledsaget af fejlkoden 8344. Denne fejl indikerer simpelthen, at den servicekonto, som Azure AD Connect bruger, ikke har de nødvendige tilladelser til at læse eller skrive data til specifikke objekter i dit lokale on-premise Active Directory (AD). Selvom det lyder simpelt, kan årsagen være gemt i komplekse tilladelsesstrukturer eller nedarvningsproblemer. Denne artikel vil guide dig igennem de mest almindelige årsager og give dig konkrete, trin-for-trin løsninger til at få din synkronisering tilbage på sporet.

What if Azure synchronization service manager has insufficient access rights?
All of them were Insufficient access rights to perform the operation. The Insufficient access rights to perform the operation is simply telling you that the on-prem Active Directory account the Azure Synchronization Service Manager created during install (without tell you!), does NOT have access to the users in question.
Indholdsfortegnelse

Forstå den centrale aktør: MSOL-kontoen

Før vi dykker ned i løsningerne, er det afgørende at forstå, hvilken konto der er tale om. Når du installerer Azure AD Connect, oprettes der automatisk en servicekonto i dit lokale Active Directory. Denne konto har typisk et navn i formatet MSOL_<hex-cifre> (f.eks., MSOL_827c9e7b0924).

Denne MSOL-kontoen er hjertet i synkroniseringsprocessen. Dens eneste formål er at fungere som mellemmand mellem dit lokale AD og Azure Active Directory (nu Entra ID). For at kunne gøre sit arbejde korrekt skal kontoen have specifikke tilladelser til at læse attributter fra dine brugere, grupper og andre objekter, samt i nogle tilfælde skrive information tilbage (f.eks. ved Exchange Hybrid eller Password Writeback). Når denne konto støder på et brugerobjekt, hvor den mangler disse tilladelser, opstår fejlen 'Utilstrækkelige adgangsrettigheder'.

Hvorfor opstår fejlen kun for nogle brugere?

Et almindeligt scenarie er, at fejlen kun påvirker en lille delmængde af brugerne, mens resten synkroniseres uden problemer. Dette skyldes næsten altid, at de berørte brugerkonti har en unik sikkerhedskonfiguration sammenlignet med de andre. De mest almindelige årsager er:

  • Deaktiveret sikkerhedsnedarvning: En sikkerhedspolitik eller en manuel handling kan have deaktiveret nedarvning af tilladelser fra den overliggende Organizational Unit (OU). Det betyder, at selvom MSOL-kontoen har rettigheder på OU-niveau, bliver disse rettigheder ikke anvendt på den specifikke brugerkonto.
  • Beskyttede grupper: Brugere, der er medlemmer (eller tidligere har været medlemmer) af beskyttede grupper som 'Domain Admins', får deres tilladelser nulstillet af en proces kaldet AdminSDHolder, som også deaktiverer nedarvning for at beskytte disse konti.
  • Manuel ændring af tilladelser: En administrator kan have fjernet nødvendige tilladelser direkte på brugerobjektet.

Trin-for-trin guide til fejlfinding og løsning

Lad os nu gennemgå de forskellige metoder til at løse dette problem, fra de simpleste til de mere avancerede. Det anbefales at starte med den første metode og kun gå videre, hvis problemet fortsætter.

Metode 1: Aktiver sikkerhedsnedarvning (Den hyppigste løsning)

I langt de fleste tilfælde skyldes problemet, at nedarvning er blevet slået fra på brugerobjektet. Ved at genaktivere det, vil objektet arve de korrekte tilladelser fra sin OU.

  1. Åbn Active Directory Users and Computers (dsa.msc).
  2. Sørg for, at 'Advanced Features' er slået til under 'View'-menuen.
  3. Naviger til den bruger, der forårsager fejlen. Højreklik på brugeren og vælg 'Properties'.
  4. Gå til fanen 'Security' og klik på knappen 'Advanced' nederst.
  5. I det nye vindue, 'Advanced Security Settings', vil du sandsynligvis se en knap nederst med teksten 'Enable inheritance'. Klik på den.
  6. Klik på 'Apply' og derefter 'OK' for at gemme ændringerne.

Når du har gjort dette for alle berørte brugere, skal du køre en synkronisering for at se, om fejlene er forsvundet.

What if Azure synchronization service manager has insufficient access rights?

Metode 2: Tildel rettigheder direkte på OU-niveau

Hvis du opdager, at mange af de fejlende brugere befinder sig i den samme OU, er den mest effektive løsning at sikre, at MSOL-kontoen har de nødvendige rettigheder på selve OU'en. Dette sikrer, at alle nuværende og fremtidige objekter i den OU arver de korrekte tilladelser.

  1. I Active Directory Users and Computers, naviger til den pågældende OU.
  2. Højreklik på OU'en og vælg 'Properties'.
  3. Gå til fanen 'Security'.
  4. Klik på 'Add...' og find din MSOL-konto (f.eks., MSOL_827c9e7b0924).
  5. Giv kontoen de nødvendige tilladelser. Som et minimum bør den have 'Read', men for fuld funktionalitet (inklusive password writeback) kan det være nødvendigt med mere generøse tilladelser som 'Read all properties' og 'Write all properties'. Start med de mest restriktive tilladelser og udvid kun om nødvendigt.
  6. Klik 'OK' for at gemme.

Metode 3: Løsning af problemer med mS-DS-ConsistencyGuid

Fejlkode 8344 kan også specifikt relatere til manglende rettigheder til at skrive til attributten mS-DS-ConsistencyGuid. Denne attribut er afgørende for, at Azure AD Connect kan matche en on-premise bruger med en bruger i skyen. Du kan tildele denne specifikke rettighed ved hjælp af PowerShell.

Åbn PowerShell som administrator og kør følgende kommandoer. Husk at udskifte pladsholderne med dine egne værdier.

$accountName = "DIT-DOMÆNE\DIN-MSOL-KONTO"
$ForestDN = "DC=dit-domæne,DC=dk"
$cmd = "dsacls '$ForestDN' /I:S /G '`"$accountName`":WP;ms-ds-consistencyGuid;user'"
Invoke-Expression $cmd

Denne kommando giver MSOL-kontoen tilladelse til at skrive til `mS-DS-ConsistencyGuid`-attributten for alle brugerobjekter i dit domæne.

Metode 4: Brug af det indbyggede fejlfindingsværktøj i AD Connect

Azure AD Connect kommer med et kraftfuldt, men ofte overset, fejlfindingsværktøj, der kan analysere og automatisk reparere almindelige tilladelsesproblemer.

  1. Åbn konfigurationsguiden for Azure AD Connect.
  2. Vælg 'Configure' og klik derefter på 'Troubleshoot' og 'Next'.
  3. Klik på 'Launch' for at starte fejlfindingsværktøjet.
  4. Vælg den relevante mulighed for at diagnosticere tilladelsesproblemer (typisk 'Diagnose and fix object synchronization issues'). Værktøjet kan bede dig om at installere RSAT-værktøjerne, hvis de ikke allerede er installeret.
  5. Følg guiden. Den vil bede dig om at autentificere med en Global Administrator-konto til Azure AD og en Enterprise Administrator-konto til dit lokale AD.
  6. Værktøjet vil analysere tilladelserne for din connector-konto (MSOL-kontoen) og foreslå rettelser. Du vil blive bedt om at godkende hver ændring. Ofte skal du trykke 'A' (for 'Yes to All') flere gange.
  7. Når processen er færdig, vil værktøjet have anvendt de korrekte basis-tilladelser.

Verificering af løsningen

Efter at have anvendt en af ovenstående løsninger er det tid til at verificere, at problemet er løst. Du kan vente på den næste planlagte synkronisering (typisk hver 30. minut), eller du kan tvinge en synkronisering manuelt via PowerShell.

What if Azure synchronization service manager has insufficient access rights?

Åbn PowerShell som administrator og kør:

# For en hurtig synkronisering af ændringer (delta)
Start-ADSyncSyncCycle -PolicyType Delta

# For en fuld synkronisering (kan tage længere tid)
Start-ADSyncSyncCycle -PolicyType Initial

Hold øje med Azure Synchronization Service Manager. Efter cyklussen er gennemført, skulle de tidligere fejl med 'Utilstrækkelige adgangsrettigheder' være forsvundet.

Sammenligning af Løsningsmetoder

For at give et hurtigt overblik er her en tabel, der sammenligner de forskellige metoder.

MetodeBedst Egnet TilKompleksitet
Aktiver NedarvningEnkeltstående brugere med brudt nedarvningLav
Rettigheder på OU-niveauMange brugere i samme OULav
PowerShell (dsacls)Specifikke problemer med ConsistencyGuidMellem
AD Connect FejlfindingsværktøjGenerel og automatiseret reparation af tilladelserMellem

Ofte Stillede Spørgsmål (OSS)

Hvorfor er MSOL-kontoen ikke bare medlem af 'Domain Admins'?

Det ville være en stor sikkerhedsrisiko. Ifølge princippet om 'least privilege' (mindst mulige privilegier) bør en servicekonto kun have præcis de tilladelser, den har brug for, og intet mere. At gøre den til domæneadministrator ville give den alt for vide beføjelser og gøre den til et attraktivt mål for angreb.

Hvad sker der, hvis jeg ignorerer disse fejl?

Hvis du ignorerer fejlene, vil de berørte brugerobjekter ikke blive synkroniseret korrekt. Det betyder, at ændringer foretaget i dit lokale AD (f.eks. navneændring, ny adgangskode, ændret gruppemedlemskab) ikke vil blive afspejlet i Azure AD. Dette kan føre til login-problemer og forkerte adgange til cloud-ressourcer.

Kan jeg omdøbe MSOL-kontoen?

Det anbefales stærkt ikke at omdøbe eller modificere MSOL-kontoen manuelt. Azure AD Connect er afhængig af denne konto, og ændringer kan ødelægge synkroniseringsprocessen. Hvis du har brug for at ændre servicekontoen, bør det gøres gennem Azure AD Connect-konfigurationsguiden.

Hvis du vil læse andre artikler, der ligner Løs Azure Sync Fejl: Utilstrækkelig Adgang, kan du besøge kategorien Sundhed.

Go up