Tác giả :Konstantinos Tsoukalas , Cập nhật lần cuối :Ngày 24 tháng 4 năm 2026
Nếu bạn đã thiết lập AD Connect để đồng bộ hóa người dùng và thiết bị AD cục bộ với Microsoft 365 và bạn gặp phải Lỗi Xuất:vấn đề về quyền , Mã lỗi:8344 , Lỗi nguồn:Không đủ quyền truy cập để thực hiện thao tác, đọc hướng dẫn này để khắc phục vấn đề.
Triệu chứng: Khi đồng bộ hóa Active Directory tại chỗ với Microsoft 365 bằng Azure AD Connect ( hay còn gọi là "Đồng bộ hóa Microsoft Entra Connect "), trình quản lý dịch vụ đồng bộ hóa hiển thị lỗi "vấn đề về quyền " trong Xuất hồ sơ.
"Sự cố về quyền" trong quá trình đồng bộ hóa kết nối Azure AD có thể xảy ra vì những lý do sau:
A. Người dùng được đồng bộ hóa gặp lỗi thuộc về "Quản trị viên miền " hoặc "Quản trị viên doanh nghiệp " nhóm và do đó không thể đồng bộ hóa được. Trong trường hợp này, lỗi là bình thường và có thể bỏ qua do kết nối Azure AD không đồng bộ hóa người dùng thuộc các nhóm này.
B. Tài khoản người dùng miền được báo cáo trong lỗi đồng bộ hóa có quyền không chính xác .
C. Tài khoản kết nối Azure AD có không đủ quyền để ghi lại giá trị trong mS-DS-ConsistencyGuid thuộc tính và vì lý do đó không thành công với Mã lỗi nguồn dữ liệu được kết nối:8344 .
Cách KHẮC PHỤC:Lỗi cấp phép 8344 trong Đồng bộ hóa kết nối Azure AD.*
* Quan trọng: Nếu xảy ra lỗi quyền kết nối Azure AD đối với người dùng thuộc Quản trị viên miền nhóm hoặc Quản trị viên doanh nghiệp nhóm, hãy bỏ qua vì điều này là bình thường.
Phương pháp 1. Kích hoạt tính năng kế thừa quyền trên tài khoản bị ảnh hưởng.
Trên tài khoản xảy ra sự cố về quyền trong quá trình đồng bộ hóa, hãy bật tính kế thừa quyền. Để làm điều đó:
1. Mở Người dùng và máy tính Active Directory .
2. Trên Chế độ xem trình đơn, bật "Tính năng nâng cao " tùy chọn.
3. Sau đó, nhấp chuột phải người dùng miền đang gặp sự cố về quyền trong Azure AD Connect đồng bộ hóa và mở Thuộc tính của nó .
4. Điều hướng đến Bảo mật và nhấp vào Nâng cao.
5. Về Quyền tab, hãy nhấp vào Bật tính kế thừa .
6. Nhấp vào Áp dụng> Được rồi Được lần nữa để đóng cửa sổ 'Thuộc tính người dùng'.
7. Bây giờ hãy mở Trình quản lý dịch vụ đồng bộ hóa và chạy đồng bộ hóa thủ công* để xem sự cố đã được khắc phục chưa.
* Lưu ý:Để thực hiện đồng bộ hóa thủ công:
một. Đi tới Trình kết nối tab nhấp chuột phải trên miền cục bộ của bạn và chọn Chạy.
b. Bật Cửa sổ 'Chạy Trình kết nối' chọn Xuất> Được rồi .
c. Cuối cùng chọn Hoạt động và xác minh rằng trạng thái Xuất là thành công không có lỗi xuất.
Phương pháp 2. Khôi phục quyền mặc định trên tài khoản bị ảnh hưởng.
1. Thực hiện lại các bước 1-4 của phương pháp trên để mở Quyền thuộc tính của tài khoản người dùng bị ảnh hưởng có vấn đề về quyền.
2. Nhấp vào Khôi phục mặc định rồi Áp dụng> Được và Được lần nữa để đóng cửa sổ 'Thuộc tính người dùng'.
3. Mở Trình quản lý dịch vụ đồng bộ hóa và chạy đồng bộ hóa thủ công để xem sự cố đã được khắc phục chưa.
Phương pháp 3. Kiểm tra quyền của tài khoản AzureAD Connect và Thêm nó vào nhóm Quản trị viên.
Khi bạn đặt cấu hình công cụ đồng bộ hóa Microsoft Entra Connect để đồng bộ hóa Active Directory tại chỗ với ID Microsoft Entra của mình, bạn có thể sử dụng tài khoản AD hiện có hoặc tạo tài khoản miền mới để đồng bộ hóa định kỳ. Khi đó, tài khoản AD này được gọi là "tài khoản Trình kết nối AD DS" hoặc "Tài khoản Azure AD Connect " hoặc "Tài khoản AAD Connect ").
Nếu bạn đã chọn sử dụng tài khoản AD hiện có trong cấu hình đồng bộ hóa Microsoft Entra Connect, trước hết hãy đảm bảo rằng tài khoản này có các quyền cần thiết. Để làm điều này:
1. Mở Người dùng và máy tính Active Directory .
2. Nhấp chuột phải trên miền của bạn và chọn Thuộc tính .
3. Điều hướng đến Bảo mật tab, chọn người dùng được đặt làm "tài khoản Azure AD Connect" và gán cho người dùng đó các quyền sau.*
- Sao chép các thay đổi của thư mục
- Sao chép tất cả các thay đổi trong thư mục
* Lưu ý:Nếu người dùng đã được cấp các quyền trên, hãy tiếp tục như bên dưới.
4. Mở Người dùng và máy tính Active Directory, chọn Được tích hợp sẵn rồi mở Quản trị viên nhóm.
5. Chọn Thành viên tab, nhấp vào Thêm , sau đó thêm người dùng mà bạn đã xác định là tài khoản kết nối Azure AD vào nhóm Quản trị viên.
6. Khi bạn hoàn tất, hãy đóng tất cả cửa sổ đang mở và thử đồng bộ hóa lại.
Trợ giúp bổ sung: Nếu vấn đề về quyền vẫn tiếp diễn, hãy đọc bài viết sau để cấp các quyền cần thiết trên tài khoản Azure AD Connect:
Thế thôi! Phương pháp nào hiệu quả với bạn?
Hãy cho tôi biết nếu hướng dẫn này đã giúp bạn bằng cách để lại nhận xét về trải nghiệm của bạn. Hãy thích và chia sẻ hướng dẫn này để giúp đỡ người khác.
Câu hỏi thường gặp
Lỗi xuất:vấn đề về quyền, Mã lỗi:8344 có ý nghĩa gì trong Azure AD Connect?
Lỗi này cho biết không có đủ quyền truy cập để thực hiện một số thao tác nhất định trong quá trình đồng bộ hóa giữa Active Directory cục bộ và Microsoft 365 bằng Azure AD Connect.
Điều gì có thể gây ra Lỗi xuất:vấn đề về quyền, Mã lỗi:8344 trong Azure AD Connect?
Các nguyên nhân tiềm ẩn bao gồm người dùng được đồng bộ hóa thuộc nhóm 'Quản trị viên miền' hoặc 'Quản trị viên doanh nghiệp' (không được hỗ trợ đồng bộ hóa), quyền không chính xác đối với tài khoản người dùng miền hoặc không đủ quyền để Azure AD Connect ghi lại giá trị cho một số thuộc tính nhất định.
Làm cách nào tôi có thể giải quyết Lỗi cấp phép 8344 trong Đồng bộ hóa kết nối Azure AD?
Bạn có thể khắc phục lỗi bằng cách bật kế thừa quyền trên tài khoản bị ảnh hưởng, khôi phục quyền mặc định hoặc xem lại và điều chỉnh quyền và tư cách thành viên nhóm của tài khoản Azure AD Connect.
Làm cách nào để bật kế thừa quyền cho tài khoản đang gặp sự cố đồng bộ hóa?
Mở Người dùng và Máy tính Active Directory, bật 'Tính năng nâng cao' từ menu Xem, điều hướng đến Thuộc tính của người dùng bị ảnh hưởng, đi tới tab Bảo mật, nhấp vào Nâng cao và bật tính kế thừa trên tab Quyền.
Nên làm gì nếu tài khoản Azure AD Connect không có đủ quyền?
Đảm bảo tài khoản Azure AD Connect có quyền 'Sao chép thay đổi thư mục' và 'Sao chép tất cả thay đổi thư mục'. Ngoài ra, hãy cân nhắc thêm tài khoản vào nhóm Quản trị viên nếu cần thiết.
Nếu bài viết này hữu ích cho bạn, vui lòng cân nhắc ủng hộ chúng tôi bằng cách quyên góp. Ngay cả 1 đô la cũng có thể tạo ra sự khác biệt lớn đối với chúng tôi trong nỗ lực tiếp tục giúp đỡ người khác trong khi vẫn duy trì trang web này miễn phí:
- Tác giả
- Bài đăng gần đây
Konstantinos là người sáng lập và quản trị viên của Wintips.org. Từ năm 1995, ông làm việc và cung cấp hỗ trợ CNTT với tư cách là chuyên gia về máy tính và mạng cho các cá nhân và công ty lớn. Anh ấy chuyên giải quyết các vấn đề liên quan đến Windows hoặc các sản phẩm khác của Microsoft (Windows Server, Office, Microsoft 365, v.v.).
Bài viết mới nhất của Konstantinos Tsoukalas (xem tất cả)