<div dir="ltr"><div><div><div><div><div><div>Hi,<br></div>I have created the sync user with:<br>- <span class=""><strong>Replicating directory changes</strong></span> rights to the synchronized Active Directory subtree.<br>
- A member of the <span class=""><strong>Account Operator</strong></span> and <span class=""><strong>Enterprise Read-Only Domain controller</strong></span> groups.<br><br><br></div><div>The user attribute syncronization is working fine, however the passync from IPA to AD does not work, i get this error message when i change a password for a user from IPA: <br>
(00000005: SecErr: DSID-031A121F, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 ) for modify operation <br><br></div><div>If i add the sync user to the Domain Admins group it works, however according to the docs this should not be necessary?<br>
</div><div><br><br></div></div></div></div></div></div>