Ошибка миграции hr=0x80070005 Access is denied

Обновлено 26.10.2018

Добрый день! Уважаемые читатели и гости, крупнейшего IT блога Pyatilistnik.org. В моей компании очень часто происходит перенос учетных записей пользователей из одного домена Active Directory в другой. В прошлый раз я вам показал, как решается ошибка миграции 0x8007208c, сегодня покажу еще очень занимательную, с которой вы можете столкнуться. Звучит она вот таким образом "Failed to move source object. hr=0x80070005 Access is denied " и не дает перенести пользователя в другой домен. Ниже я покажу, ее быстрое решение.

Решение ошибки hr=0x80070005 Access is denied

Вот так вот выглядит ошибка при миграции учетной записи средствами ADMT 3.2

Как видно из ошибки, у нас не хватает прав на что-то. Давайте разбираться на что. Как советует компания Microsoft, при выполнении миграции объекта Active Directory между лесами и доменами, у учетной записи, от имени которой вы запустили утилиту ADMT 3.2, должны быть вот такие права.

• В домене откуда идет миграция, учетная запись должна быть добавлена в группу BULTIN\Администратор, почему именно в эту группу, да тут все просто, в администраторов домена у вас добавить не получиться, в виду таковых ограничений, но вот группа BULTIN\Администратор, содержит учетные данные, которые имеют права администраторов на всех компьютерах в локальной сети, сюда входит и группа админов домена.

• В целевом домене в группу администраторы домена или леса, этих прав должно хватить.

После того как я назначил права и попробовал заново выполнить миграцию учетной записи пользователя в ADMT 3.2, я все так же получал, это надоедливое сообщение об ошибке доступа к объекту. Гугление и просмотр различных веток на сайтах Microsoft или сторонних IT ресурсов, ничего не дало, кроме как назначение прав, через группы.

Так как мигрировать пользователей было нужно, то я стал изучать, чем же они отличаются от тех, кто уже переехал. Просматривая свойства, я заглянул на вкладку "Объект", на которой у пользователя для каких-то целей была выставлена галка "Защитить объект от случайного удаления (Protect object from accidental deletion)", которая обычно выставляется на организационных подразделениях, но не на пользователях.

Как только галка была снята, то ADMT 3.2 при следующей миграции. Как видите все оказалось очень просто и банально до безобразия, надеюсь этот пост окажется полезным и вы легко сможете проводить процедуры миграции между доменами Active Directory. С вами был Иван Семин, автор и создатель портала Pyatilistnik.org.