Verifica permessi Replicating Directory Changes

Due dei “problemi” più frequenti che incontro nella configurazione della User Profile Service Application sono i seguenti:

  • Impostazione formato data/ora del server;
  • Impostazione dei permessi necessari per la sincronizzazione dei profili.

Il primo problema, su cui ho già scritto in passato, riguarda nello specifico il separatore ora/minuti/secondi. Affinché il servizio User Profile Sychronization Service si possa avviare è necessario che questo carattere rispecchi le impostazione d’oltre oceano, cioè i due punti.

In merito al secondo problema ricordo per “accademia” che i permessi in questione sono Replicating Directory Changes e, solo in alcuni, Replicating Directory Changes sul naming context Configuration. Tuttavia non intendo fermarmi su come impostare questi permessi, di documentazione in merito penso ce ne sia a sufficienza, ma su come poter verificare la loro corretta impostazione visto che molto spesso questa configurazione è delegata ad un team diverso da quello di SharePoint.

Sicuramente un test potrebbe essere quello di avviare la sincronizzazione dei profili. In questo caso l’errore failed-search – Replication access was denied sarebbe un chiaro sintomo di permessi mancanti lato Active Directory. Tuttavia non vedo perchè perdere tempo quando possiamo prevenire l’errore prima ancora della creazione della User Profile SA come da buone pratiche.

Failed Search

Cercando una possibile soluzione mi sono imbattuto nel blog di Andrew MossHater (che strano cognome :D) che in questo post spiega come verificare questi permessi utilizzando Windows PowerShell, fantastico! Questo script è subito entrato a far parte della mia cassetta degli attrezzi. Prima però mi sono permesso di fare una piccola modifica :) Per rendere più facilmente riutilizzabile lo script ho reso parametrico il valore dell’utente da verificare, aggiungendo le seguenti righe:

e cancellando / commentando l’impostazione della variabile $username. In questo modo è possibile richiamare direttamente lo script da una qualsiasi shell passando come parametro l’account da verificare. Una possibile evoluzione dello script sarebbe quella di rendere dinamico anche il dominio, al posto di leggere quello “corrente” come in questo momento. Chi si offre? :)

Run script

Se dovesse tornarvi utile (disclaimer – a vostro rischio e pericolo), oltre che dal blog di Andrew, potete scaricare lo script modificato da qui.

I <3 SharePoint (ehm…)
– Riccardo

Submit a Comment