L'héritage des autorisations est désactivé sur les conteneurs des objets Ordinateur, Utilisateur ou InetOrgPerson
Dernière rubrique modifiée : 2009-04-24
Dans les services de domaine Active Directory verrouillés, les objets Utilisateur et Ordinateur sont souvent placés dans des unités d'organisation spécifiques dans lesquelles l'héritage des autorisations a été désactivé afin de sécuriser la délégation d'administration et de permettre l'utilisation d'objets de stratégie de groupe pour l'application de stratégies de sécurité.
La préparation de domaine et l'activation de serveur définissent les entrées de contrôle d'accès requises par Office Communications Server 2007 R2. Lorsque l'héritage des autorisations est désactivé, les groupes de sécurité Office Communications Server ne peuvent pas hériter ces entrées de contrôle d'accès. Lorsque ces autorisations ne sont pas héritées, les groupes de sécurité Office Communications Server ne peuvent pas accéder aux paramètres et deux problèmes se posent :
- Pour administrer les objets Utilisateur, InetOrgPerson et Contact et faire fonctionner les serveurs, les groupes de sécurité Office Communications Server requièrent des entrées de contrôle d'accès définies par la procédure de préparation de domaine sur les jeux de propriétés de chaque utilisateur : RTC (Real-time Communications), RTC User Search et Informations publiques. Lorsque l'héritage des autorisations est désactivé, les groupes de sécurité n'héritent pas ces entrées de contrôle d'accès et ne peuvent pas gérer les serveurs ni les utilisateurs.
- Pour détecter les serveurs et les pools, les serveurs Office Communications Server s'appuient sur les entrées de contrôle d'accès définies par l'activation sur des objets liés à l'ordinateur, notamment les objets Conteneur Microsoft et Serveur. Lorsque l'héritage des autorisations est désactivé, les groupes de sécurité, les serveurs et les pools n'héritent pas ces entrées de contrôle d'accès et ne peuvent pas les exploiter.
Pour résoudre ces problèmes, Office Communications Server propose une autre procédure de préparation d'Active Directory, CreateLcsOuPermissions, disponible avec l'outil en ligne de commande LcsCmd.exe. Cette procédure définit directement les entrées de contrôle d'accès Office Communications Server requises sur un conteneur spécifié, ainsi que les objets du conteneur.
Définir des autorisations sur les objets Utilisateur, InetOrgPerson et Contact après l'exécution de la commande Préparer un domaine
Dans un environnement Active Directory verrouillé, dans lequel l'héritage des autorisations est désactivé, la préparation du domaine ne définit pas les entrées de contrôle d'accès nécessaires sur les conteneurs d'objets Utilisateur ou InetOrgPerson à l'intérieur du domaine. Dans ce cas, vous devez exécuter LcsCmd.exe avec l'action CreateLcsOuPermissions sur chaque conteneur d'objets Utilisateur ou InetOrgPerson pour lequel l'héritage des autorisations est désactivé. Si vous avez déployé une topologie à forêt centrale, vous devez également exécuter cette procédure sur le conteneur d'objets Contact (pour plus d'informations sur les topologies à forêt centrale, consultez Topologies Active Directory prises en charge). Le paramètre /objecttype spécifie le type d'objet.
Cette procédure ajoute directement les entrées de contrôle d'accès requises sur les conteneurs spécifiés et les objets Utilisateur et InetOrgPerson qu'ils contiennent.
Des droits d'utilisateur équivalents à ceux des membres du groupe Administrateurs du domaine sont requis pour exécuter cette procédure. Si les entrées de contrôle d'accès des utilisateurs authentifiés ont également été supprimées dans l'environnement verrouillé, vous devez octroyer des entrées de contrôle d'accès en lecture à ce compte sur les conteneurs concernés dans le domaine racine de la forêt, comme décrit dans Les autorisations des utilisateurs authentifiés sont supprimées, ou utiliser un compte qui est membre du groupe Administrateurs de l'entreprise.
Pour définir les entrées de contrôle d'accès requises pour les objets Utilisateur, InetOrgPerson et Contact
Ouvrez une session sur un ordinateur lié au domaine en utilisant un compte qui est membre du groupe Administrateurs du domaine ou doté de droits d'utilisateur équivalents.
Ouvrez une invite de commandes, puis exécutez :
LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CreateLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:<type of object to create Office Communications Server ACEs for – user, InetOrgPerson, contact, AppContact>Par exemple :
LcsCmd.exe /domain /action:CreateLcsOuPermissions /ou:”OU=usersOU” /objectType:userDans le fichier journal, recherchez le résultat d'exécution <Opération réussie> à la fin de chaque tâche, pour être sûr que les autorisations ont été définies, puis fermez la fenêtre du journal. Vous pouvez également exécuter la commande suivante pour déterminer si les autorisations ont été définies :
LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CheckLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:type of object – user, InetOrgPerson, contact, AppContact
Définir des autorisations sur les objets Ordinateur après l'exécution de la commande Préparer un domaine
Dans un environnement Active Directory verrouillé, dans lequel l'héritage des autorisations est désactivé, la préparation du domaine ne définit pas les entrées de contrôle d'accès nécessaires sur les conteneurs d'objets Ordinateur à l'intérieur du domaine. Dans ce cas, vous devez exécuter LcsCmd.exe avec l'action CreateLcsOuPermissions sur chaque conteneur dans lequel des ordinateurs exécutent Office Communications Server avec l'héritage des autorisations désactivé. Le paramètre /objecttype spécifie le type d'objet.
Cette procédure ajoute directement les entrées de contrôle d'accès requises sur les conteneurs spécifiés.
Des droits d'utilisateur équivalents à ceux des membres du groupe Administrateurs du domaine sont requis pour exécuter cette procédure. Si les entrées de contrôle d'accès des utilisateurs authentifiés ont également été supprimées, vous devez octroyer des entrées de contrôle d'accès en lecture à ce compte sur les conteneurs concernés dans le domaine racine de la forêt, comme décrit dans Les autorisations des utilisateurs authentifiés sont supprimées, ou utiliser un compte qui est membre du groupe Administrateurs de l'entreprise.
Pour configurer les entrées de contrôle d'accès requises pour les objets Ordinateur
Ouvrez une session sur l'ordinateur du domaine en utilisant un compte qui est membre du groupe Administrateurs du domaine ou doté de droits d'utilisateur équivalents.
Ouvrez une invite de commandes, puis exécutez :
LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CreateLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>Par exemple :
LcsCmd.exe /domain:resources.corp.woodgrovebank.com /action:CreateLcsOuPermissions /ou:”OU=computersOU” /objectType:computerDans le fichier journal, recherchez le résultat d'exécution <Opération réussie> à la fin de chaque tâche, vérifiez qu'il n'y a aucune erreur, puis fermez le fichier journal. Vous pouvez également exécuter la commande suivante pour déterminer si les autorisations ont été définies :
LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CheckLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>.gif "Dd441161.note(fr-fr,office.13).gif")
Remarque :Si vous exécutez la commande Préparer le domaine sur le domaine racine de la forêt dans un environnement Active Directory verrouillé, Office Communications Server requiert l'accès aux conteneurs Schéma et Configuration dans Active Directory.
Si l'autorisation d'utilisateur authentifié par défaut est supprimée du conteneur Schéma ou Configuration dans les services de domaine Active Directory, seuls les membres des groupes Administrateurs du schéma ou Administrateurs de l'entreprise sont autorisés à accéder à ce conteneur. Étant donné que Setup.exe, LcsCmd.exe et le composant logiciel enfichable requièrent un accès à ces conteneurs, la configuration et l'installation des outils d'administration échouent si l'utilisateur qui exécute l'installation ne dispose pas de droits d'utilisateur équivalents à ceux des membres des groupes Administrateurs du schéma et Administrateurs de l'entreprise.
Pour remédier à cette situation, vous devez octroyer au groupe RTCUniversalGlobalReadOnly un accès aux conteneurs Schéma et Configuration.