Questo articolo piega come risolvere errore 8344 in Azure AD permission-issue Connect durante la di sincronizzazione local export per alcuni utenti.
Aprendo il dettaglio possiamo vedere più informazioni sul errore.
Si evidenzia che il sincronizzatore sta provando a ad aggiungere l’attributo mS-DS-ConsistencyGuid nel AD locale di questi utenti.
Ciò può verificarsi anche quando si cambia la variabile utilizzata per sincronizzare gli account, ad esempio passando da objectGUID a mS-DS-ConsistencyGuid.
La risoluzione è abbastanza semplice, ci sono molti script per modificare le autorizzazioni in rete compresa un utilità di Microsoft, tuttavia in questo caso la modalità manuale è più sicura e veloce.
Dall’Active Directory apriamo la proprietà dell’utente affetto da questo problema, a andiamo sulla scheda sicurezza e infine su avanzate.
Per questi utenti ci accorgiamo subito che l’ereditarietà non è abilitata, motivo per cui alcuni permessi come di “Replica modifica directory” e “Replica modifica directory di set filtrato” da parte dell’utente di sincronizzazione non saranno ereditate all’utente dai permessi di root di AD, motivo per cui viene generato l’errore.
A questo punto attivando l’ereditarietà la sincronizzazione andrà a buon fine senza generare più errori.
Nel caso ereditarietà sia già attiva, allora il problema potrebbe essere un altro. Consiglio di visionare la wiki ufficiale Microsoft su questo errore, che necessiterà di eseguire il proprio tool di troubleshoot.