Решено Дубликаты досье в Solar Dozor.

[Velly]

Коллеги, добрый день!
Столкнулась с проблемой дубликатов карточек пользователей в Solar Dozor.
При переводе сотрудника в другой отдел, его учетка в AD удаляется и создается новая УЗ, в другой орг. структуре, с таким же логином и email. В Dozor фигурирует 2 карточки, с разными SID, по обеим карточкам идет активность. Но по факту в AD(судя по выгрузке в Powershell), есть только 1 учетная запись и 1 действующий SID.
При попытке объединить карточки досье через интерфейс возникает ошибка «нельзя удалить карточку, полученную из Active Directory».
При попытке удалить через скрипт, возникает ошибка: «Ошибка. Нельзя удалить персону».
Может быть кто-то уже сталкивался с такой проблемой? Посоветуйте, пожалуйста.
Заранее большое спасибо.

 

[NanoSuit]

В Dozor фигурирует 2 карточки, с разными SID, по обеим карточкам идет активность. Но по факту в AD(судя по выгрузке в Powershell), есть только 1 учетная запись и 1 действующий SID.

Странное состояние. Может репликация контроллеров домена поломана ? Проверьте ее
repadmin /showrepl

 

[FlipFlop]

Может кд только для чтения, нужно смотреть настройки интеграции этой DLP с active directory

 

[Ivan]

или repadmin /replsum

 

[Surf_rider]

Столкнулась с проблемой дубликатов карточек пользователей в Solar Dozor.

Версию Solar Dozor укажите

 

[anakom]

«нельзя удалить карточку, полученную из Active Directory».

объект защищен от случайного удаления

 

[Velly]

Версию Solar Dozor укажите

Наименование продукта Solar Dozor 6.0

Спасибо большое, что поправили.

 

[Velly]

объект защищен от случайного удаления

Возможно. Но странно, что в мануале Руководства системного администратора он предлагается. Это скрипт "Редактор досье в интерфейсе командной строки".
-R <идентификатор пользователя>, --remove-user <идентификатор пользователя>
– удалить пользователя;
Зачем же тогда прилагать скрипт, который принудительно не удаляет ненужную карточку. Я же через CLI делаю, с нужными правами.
Извините, если что-то недопонимаю.

 

[Velly]

Странное состояние. Может репликация контроллеров домена поломана ? Проверьте ее
repadmin /showrepl

Добрый день. Спасибо большое за команды. Вывели список контроллеров. И на контроллере, к которому, как я понимаю и относится проблемный пользователь (одинаковые названия филиалов), есть сообщение:
Filial-DC0 >60 days 5 / 5 100 (1722) Сервер RPC недоступен. l

Вывела:

repadmin /showrepl site:Filial-DC0 DC=xxx...  /Errorsonly, получила ответ:
Repadmin не удается подключиться к основному серверу из-за следующей ошибки.  Укажите другой основной сервер
 в параметре /homeserver:[имя DNS]
Ошибка. Не удалось выполнить операцию просмотра в LDAP из-за следующей ошибки:
    Ошибка LDAP 81(0x51): Сервер отключен
    Ошибка Win32 сервера 0(0x0):
    Расширенные сведения:

 

[BSD]

Но странно, что в мануале Руководства системного администратора он предлагается. Это скрипт "Редактор досье в интерфейсе командной строки".
-R <идентификатор пользователя>, --remove-user <идентификатор пользователя>
– удалить пользователя;
Зачем же тогда прилагать скрипт, который принудительно не удаляет ненужную карточку. Я же через CLI делаю, с нужными правами.
Извините, если что-то недопонимаю.

ну это наверное удаление из БД а не из active directory

 

[Hyper]

а у кого нибудь есть руководство администратора?
я к тому что в инете чего то мало про этот солар дозор

 

[Velly]

Может кд только для чтения, нужно смотреть настройки интеграции этой DLP с active director

Может кд только для чтения, нужно смотреть настройки интеграции этой DLP с active directory

ну это наверное удаление из БД а не из active directory

Спасибо. Да, была не права. Про БД больше подходит.

 

[Velly]

Может кд только для чтения, нужно смотреть настройки интеграции этой DLP с active directory

В руководстве указано, что там УЗ AD указывается с правами на чтение.
(Настройки источника данных досье задать значения следующих параметров: DN пользователя – имя учётной записи с правами чтения каталога AD. ) Как я поняла, на запись то УЗ и не нужны права.
Синхронизацию с AD проверила. Попробую понять, что с самой БД.

 

[FlowMaster]

Так обычно и делают, прав на чтение схемы будет достаточно. Distinguished name можно посмотреть через оснастку adsiedit.msc

 

[Velly]

Так обычно и делают, прав на чтение схемы будет достаточно. Distinguished name можно посмотреть через оснастку adsiedit.msc

Спасибо

 

[BSD]

чем все закончилось то в итоге ?