|
Management summary, english
|
|
The synchronization process of the Synchronization Service Manager (Microsoft Azure AD Connect Synchronization Services) does not transfer the attribute WP;ms-ds-consistencyGuid from Azure back to the Local Active Directory. This issue arises when a regular user in the local domain environment has the ADMINSholder/adminCount flags set to 1/true, which is intentionally implemented to protect sensitive Windows accounts from being inadvertently modified. It is essential to remove this flag when it is no longer necessary or remove the user from the corresponding groups to ensure proper functionality with ActiveSync, GPO, and Azure/M365. To gain a better understanding of the ADMINSholder/adminCount attribute, we recommend referring to the provided blog posts, which shed light on the impact of this flag, particularly regarding ActiveSync and GPO.
|
|
Management summary, deutsch
|
|
Der Synchronisationsprozess des Synchronisation Service Managers (Microsoft Azure AD Connect Synchronization Services) überträgt das Attribut WP;ms-ds-consistencyGuid nicht von Azure zurück zum lokalen Active Directory. Dieses Problem tritt auf, wenn ein normaler Benutzer in der lokalen Domänenumgebung die ADMINSholder/adminCount-Flags auf 1/true gesetzt hat, was absichtlich erfolgt, um zu verhindern, dass sensible Windows-Konten versehentlich geändert werden. Es ist wichtig, dieses Flag zu entfernen, wenn es nicht mehr benötigt wird, oder den Benutzer aus den entsprechenden Gruppen zu entfernen, um eine ordnungsgemäße Funktionalität mit ActiveSync, GPO und Azure/M365 zu gewährleisten. Um ein besseres Verständnis für das ADMINSholder/adminCount-Attribut zu erlangen, empfehlen wir die Lektüre der bereitgestellten Blog-Beiträge, die Informationen über die Auswirkungen dieses Flags, insbesondere in Bezug auf ActiveSync und GPO, liefern.
|
What is this about keywords: M365, ADMINSholder/adminCount, Synchronization by Azure AD Connect, ImmutableId, WP;ms-ds-consistencyGuid
Event: ADSYNC, 6100
Error in Synchronisation Service Manager: Insufficient access rights to perform the operation, 8344, permission-issue
Problem:
Synchronisation Service Manager (Microsoft Azure AD Connect Synchronization Services) does not sync the attribute WP;ms-ds-consistencyGuid Back from Azure to Local Active Directory.
This is because a local normal employee user has the ADMINSholder/adminCount flags set to 1/true. (Which is not good in Domain Enviroments)
This is by purpose to protect sensitive Windows account of been written wrong by error.
When a user has been temporarily part of the "Local Admin group" or a member of specific ADS groups like Print Operator or Backup Operators, they receive a special FLAG (ADMINSholder/adminCount=1). The objective is to remove this flag if it is no longer necessary or remove the user from those groups altogether. If not done these accounts may encounter limitations when it comes to functionality with ActiveSync, GPO, and Azure/M365.
If you would like to gain a better understanding of what ADMINSholder/adminCount entails, we recommend reading our informative blog posts. They provide insights into the impact of this flag, especially concerning ActiveSync and GPO. Here are the steps to remove the flag:
https://www.butsch.ch/post/Activesync-with-Exchange-2013-does-not-work-ADMINSHOLDER-Flag-(an-old-bad-friend)
https://www.butsch.ch/post/Exchange-Activesync-1053-Event-4003-Error-2007201020132016-Adminsholder
Please be aware that ADMINSholder Attribute is here to PROTECT sensitive accounts like ADMINISTRATOR, Service, IIS-accounts and resets or overwrites them every 15 minutes to prevent catastrophic impact of wrong GPO/Policies or Powershell commands who manipulate such accounts.
|
Microsoft describes it like this related to Azure sync
|
"Users with administrative roles in Azure AD will bypass matching.
"To prevent unaccounted for account takeover of roles with privilege assignment, any user object that has an admin role assigned in AAD will be bypassed for matching.
Speaking of administrative roles and synchronization in general, highly privileged user accounts should be separated out from regular user accounts"
|
Here is Powershell sample to find the users under your ROOT ADS with excluding certain OU Llike deactivated or service:
Get-ADUser -Filter {admincount -gt 0} -Properties adminCount -ResultSetSize $null -SearchBase "DC=yourdomain,DC=local" | Where-Object { $_.DistinguishedName -notlike "*OU=Benutzer_deaktiviert*" -and $_.DistinguishedName -notlike "*OU=SERVICE_users_IT*" -and $_.DistinguishedName -notlike "*CN=Users,DC=yourdomain,DC=local" } | Format-List DistinguishedName, Enabled, SamAccountName
Change the yellow field to your enviroment or what your OU-folders contain.
This will provide you with a list of on-premises users who have the ADMINSholder FLAG set and will not synchronize back from Azure/M365 to your local Active Directory.
This is because Microsoft wants to protect those special accounts. (AdminSholder refers to a special account.)
Synchronisation Service Manager, Microsoft Azure AD Connect Synchronization Services
Event, ADSYNC, 6100,
The error (Or not because it helps you to find error on-premise and protects you from mistakes) as you see it
There is a user named CLAUDIO whose ms-ds-consistencyGuid value does not sync back from Azure to the Local Active Directory.
This synchronization failure is due to the Sync tool recognizing that the local user has the ADMINSHolder/Admincount FLAG set to 1 (true). As a result, the synchronization process does not update the value in the Local Active Directory.
Links:
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/hybrid-identity-getting-users-aligned/ba-p/2274690
Primary goal would be to FIX those accounts who are regular users and have the ADMINSolder/admount=1 flag set. You can do this manual:
https://www.butsch.ch/post/Activesync-with-Exchange-2013-does-not-work-ADMINSHOLDER-Flag-(an-old-bad-friend)
https://www.butsch.ch/post/Exchange-Activesync-1053-Event-4003-Error-2007201020132016-Adminsholder
Or you use a scripted solution. Be carefull you don't touch any service accounts my mistake.
C7Solutions has an excellent write up of the issue and also scripts with which you can modify the permission.
https://c7solutions.com/2015/07/configuring-writeback-permissions-in-active-directory-for-azure-active-directory-sync
Also Microsoft has some good Blogs posts:
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/hybrid-identity-getting-users-aligned/ba-p/2274690
| DEUTSCH / Translation |
|
Worum geht es bei den Schlüsselwörtern: M365, ADMINSholder/adminCount, Synchronisation durch Azure AD Connect, ImmutableId, WP;ms-ds-consistencyGuid?
Ereignis: ADSYNC, 6100
Fehler im Synchronisations-Service-Manager: Unzureichende Zugriffsrechte, um die Operation auszuführen, 8344, Berechtigungsproblem.
Problem:
Der Synchronisations-Service-Manager (Microsoft Azure AD Connect Synchronization Services) synchronisiert das Attribut WP;ms-ds-consistencyGuid nicht von Azure zurück zum lokalen Active Directory.
Dies liegt daran, dass ein lokaler normaler Mitarbeiterbenutzer die ADMINSholder/adminCount-Flags auf 1/true gesetzt hat. (Was in Domänenumgebungen nicht gut ist)
Dies dient dazu, sensible Windows-Konten davor zu schützen, durch Fehler falsch geschrieben zu werden.
Wenn ein Benutzer vorübergehend Teil der "Lokalen Administratorengruppe" oder Mitglied bestimmter ADS-Gruppen wie "Druckoperator" oder "Backup-Betreiber" war, erhält er ein spezielles FLAG (ADMINSholder/adminCount=1). Das Ziel besteht darin, dieses Flag zu entfernen, wenn es nicht mehr benötigt wird, oder den Benutzer vollständig aus diesen Gruppen zu entfernen. Wenn dies nicht erfolgt, können diese Konten Einschränkungen bei der Funktionalität von ActiveSync, GPO und Azure/M365 erfahren.
Wenn Sie ein besseres Verständnis dafür erhalten möchten, was ADMINSholder/adminCount bedeutet, empfehlen wir Ihnen, unsere informativen Blog-Beiträge zu lesen. Sie bieten Einblicke in die Auswirkungen dieses Flags, insbesondere in Bezug auf ActiveSync und GPO. Hier sind die Schritte, um das Flag zu entfernen:
https://www.butsch.ch/post/Activesync-with-Exchange-2013-does-not-work-ADMINSHOLDER-Flag-(an-old-bad-friend)
https://www.butsch.ch/post/Exchange-Activesync-1053-Event-4003-Error-2007201020132016-Adminsholder
Bitte beachten Sie, dass das ADMINSholder-Attribut dazu dient, sensible Konten wie ADMINISTRATOR, Service und IIS-Konten zu SCHÜTZEN und sie alle 15 Minuten zurückzusetzen oder zu überschreiben, um katastrophale Auswirkungen falscher GPOs, Richtlinien oder Powershell-Befehle zu verhindern, die solche Konten manipulieren.
Microsoft beschreibt es im Zusammenhang mit der Azure-Synchronisation wie folgt:
"Benutzer mit administrativen Rollen in Azure AD werden bei der Abgleichung übersprungen.
"Um unkontrollierten Account-Takeover bei Rollen mit Privilegienzuweisung zu verhindern, wird jeder Benutzerobjekt, dem in AAD eine Administratorrolle zugewiesen ist, bei der Abgleichung übersprungen. In Bezug auf administrative Rollen und die Synchronisation sollten hochprivilegierte Benutzerkonten von normalen Benutzerkonten getrennt werden."
Hier ist ein PowerShell-Beispiel, um Benutzer unter Ihrem ROOT ADS zu finden und bestimmte Organisationseinheiten wie deaktivierte oder Dienst-OU auszuschließen (Siehe oben englischer Text)
Ändern Sie das gelbe Feld entsprechend Ihrer Umgebung oder dem Inhalt Ihrer OU-Ordner. Dies liefert Ihnen eine Liste der lokalen Benutzer, bei denen das ADMINSholder-FLAG gesetzt ist und die nicht von Azure/M365 zurück zum lokalen Active Directory synchronisiert werden. Dies geschieht, um diese speziellen Konten zu schützen. (AdminSholder bezieht sich auf ein spezielles Konto.)
Synchronisations-Service-Manager, Microsoft Azure AD Connect Synchronization Services
Ereignis, ADSYNC, 6100
Der Fehler (oder nicht, da er Ihnen hilft, Fehler lokal zu finden und vor Fehlern zu schützen), wie Sie ihn sehen.
Es gibt einen Benutzer namens CLAUDIO, bei dem der Wert ms-ds-consistencyGuid nicht von Azure zum lokalen Active Directory zurück synchronisiert wird. Dieser Synchronisationsfehler tritt auf, da das Sync-Tool erkennt, dass der lokale Benutzer das ADMINSHolder/Admincount-FLAG auf 1 (true) gesetzt hat. Infolgedessen wird der Wert im lokalen Active Directory nicht aktualisiert.
|