Ты гдеа?

Подмосковье?

С другой стороны камеры 🙂

Ноуп!

Кого-нибудь уже начали на работу выводить с удалёнки?

Коллеги, может кто-нибудь проверить у кого настоен Exchange hybrid - прописывается ли УЗ из под которой сканится АД в Builtin]Administrators группу домена?
Причем подчеркиваю - не УЗ из под которой работает служба, а именно УЗ, которую он показывает в меню View Current Configuration - у меня они отличаются

Не совсем понял. Где смотреть?

да я уже разобрался, спасибо )

И как? Прописывается?

это не основной целью было - я хотел проследить зависимость одну

запись в атрибут msDS-ExternalDirectoryObjectID требовалась

Не, поспешил. Короче при гибридном развертывании при попытке синкать пользователей из дочернего домена леса, в котором стоит ADConnect - он пытается прописать пользователям этот атрибут каким-то значением.
НИ валится с ошибкой нехватки прав. Я проверил корневой домен леса - там УЗ оказалась в группе админов. Я добавил ее в группу админов дочернего домена и проблема пропала. Но у меня возникло сомнение, что добавление в группу админов произошло автоматически когда конфигурился ADConnect и полез в редактирование прав УЗ на уровне домена с тем, чтобы разрешить запись только в этот атрибут, но не нашел его в списке доступных.

Короче проверить все таки плиз - зайди в группу Builtin \ Administrators и чекни кто туда входит

Учёток от Azure там нет

Хотя нет, есть. Но не там, а во вложенной Domain admins

Там системная AAD_2d06ec3aa35d для синхрона

вот! че то мне кажется не очень правильным давать такие права этой УЗ, она пишет в обратку всего ничего, можно дать права непосредственно на атрибуты

причем сапми атрибуты можно просто вычислить если валится с ошибкой операция экспорта в локальную АД - там прямо пишет куда он не смог значение внести

нафига ей доменный админ

Чтобы при изменении в облаке он мог синхронить изменения в локальном ад?