前言
通过Azure Active Directory Connect工具把本地域用户同步到Office365后,发现用户的密码没有同步过来,解决方案如下
【AAD Connect】01:AAD Connect把本地AD账户同步到Office365(AD域账户迁移)
【AAD Connect】02:本地AD账户同步到O365报错:DirectoryReplicationServices.DrsException: RPC Error 8453复制访问被拒绝
【AAD Connect】03:使用AAD Connect同步到Office365时的同步规则(AD账号同步到O365)
【AAD Connect】04:AD账户同步到O365报错:同步服务未运行,启动“ADSync”服务或Unable to connect to the Synchronization Service
【AAD Connect】05:通过AAD Connect疑难解答检查同步问题,以及根据提示如何解决问题(AD账户迁移到O365)
错误信息
从windows事件查看器中可以看到,在使用AAD connect工具同步用户时,密码同步时候报错了,报错信息如下
Password hash synchronization failed for domain: sp.com, domain controller hostname: 计算机全名, domain controller IP address: IP地址. Details:
Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC Error 8453 : 复制访问被拒绝。. There was an error calling
解决方案
根据错误提示,是因为Active Directory 复制错误8453:复制访问被拒绝
1、打开ADSI编辑器
以管理员身份打开cmd,在控制台输入adsiedit.msc,打开ADSI编辑器
打开后,在右侧点击“更多操作”-》“连接到”
在“连接设置”界面,保持默认,点击“确定”
2、给“连接目录”的AD账号设置权限(lisi)
打开 dc = sp,dc = com的属性,然后选择 " 安全 " 选项卡
在“安全”界面中,单击 " 添加",然后在文本框中输入sp\Enterprise Read-Only ,然后点击“检查名称”
确认名称没问题后,点击“确定”
选择刚才添加的用户,在允许列表中勾选如下两个选项,然后选择 "确定"
说明:按照上面的步骤设置后,还是报错,后来又把lisi的账号也做了同样的操作
3、设置完成后,synchronization service manager会自动进行用户的同步,当然也可以手动进行同步,如下
打开synchronization service manager,选择sp.com, 点击“run”
4、用通过后的账号和密码登录www.office.com后,可以正常登陆
说明:登录后的提示,是因为没有给该用户分配license