Evento 1053: Insuff_Access_Rights – Access is denied

Si bien este evento se puede presentar en distintos productos, pienso que los más comunes serían OCS, Lync o Exchange (independientemente de la versión).

En este caso tomé captura de un evento que se me ha presentado en infinidad de clientes al querer sincronizar un dispositivo con ActiveSync, el error completo es el siguiente:

Exchange ActiveSync doesn’t have sufficient permissions to create the “”CN=..,DC=..,dc=..” container under Active Directory user “Active Directory operation failed or denied.

Active Directory response: 00000005: SecErr: DSID-XXXXXXX, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0”…

En español el error sería el siguiente (este lo tome del sitio de Microsoft, en la mayoría de los casos la versión del servidor esta en inglés):

Exchange ActiveSync no tiene permisos suficientes para crear el «CN = nombreBuzón, OU = nombreDeUnidadOrganizativa, DC = dominio, DC = sufijo» contenedor de usuario de Active Directory «Error en DOMAINCONTROLLER.domain.suffix en la operación de Active Directory. Este error no es admite nuevos intentos.Información adicional: acceso denegado.

Respuesta de Active directory: 00000005: SecErr: DSID – 031521D 0, problema 4003 (INSUFF_ACCESS_RIGHTS), datos 0 «.

A continuación la captura del error (en amarillo los datos específicos del cliente que obviamente son variables y no aportan en este caso):

Evento 1053

Esta situación en general se presenta en cuentas de usuarios que pertenecen (o pertenecieron) a grupos administrativos de Active Directory. Dependiendo del grupo  la membresía puede ser protegida por lo que entre otras cosas hay un proceso que lo que hace es desmarcar el checkbox de herencia en las cuentas de estos usuarios (si utilizara un usuario distinto para la administración del servicio del usuario que utilizo para Exchange, Lync, etc este error no se presentaría a no ser que haya habido algún cambio manual).

Include inheritable permissions from the object’s parent

Solución: Habilitar la herencia en el usuario que reporta el evento

1. Abrir Active Directory Users and Computers

2. Habilitar la vista de características avanzadas (de lo contrario no muestra el tab de seguridad en el objeto):

image

3. Ir a las propiedades del usuario, hacer clic en el tab de seguridad y clic en Advanced (abajo a la derecha)

4. Marcar el checkbox “Include inheritable permissions from the object’s parent”

image

5. Aplicar los cambios y esperar que replique.

Lo próximo sería sincronizar el dispositivo, el proceso que desmarca la herencia en estas cuentas corre cada una hora por lo que hay que sincronizar antes de que esto suceda.

A tener en cuenta que esta situación se presentaría la primera vez que el usuario sincronice el dispositivo y cada vez que cambie de teléfono.

En general cuando vemos más de estos eventos es dentro del contexto de una migración (transición) a una nueva versión del producto, por ejemplo actualizando de Exchange 2003 o 2007 a Exchange 2010 o 2013.

About Daniel Núñez Banega

Consultor IT especializado en Microsoft Exchange, Active Directory y Microsoft 365.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist | Microsoft 365 Certified: Enterprise Administrator Expert | Microsoft 365 Certified: Security Administrator Associate | Microsoft Certified: Cybersecurity Architect Expert | Comptia Pentest+ | EC-Council Certified Ethical Hacker Master

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *