• Artikel

Berechtigungen für authentifizierte Benutzer wurden entfernt

Letztes Änderungsdatum des Themas: 2009-01-23

In einer gesperrten Active Directory-Domänendienste-Umgebung wurden die Zugriffssteuerungseinträge (ACEs) authentifizierter Benutzer aus den Active Directory-Standardcontainern (Benutzer-, Konfigurations- oder Systemcontainer und Organisationseinheit-Container eingeschlossen), in denen Benutzer- und Computerobjekte gespeichert sind, entfernt. Das Entfernen der Zugriffssteuerungseinträge authentifizierter Benutzer verhindert den Lesezugriff auf Active Directory-Informationen. Das Entfernen dieser Einträge führt jedoch für Office Communications Server zu Problemen, weil die Anwendung eine Leseberechtigung für diese Container benötigt, damit Benutzern das Ausführen der Domänenvorbereitung ermöglicht werden kann.

In dieser Situation wird durch die Mitgliedschaft in der Gruppe Domänen-Admins, die für das Ausführen der Domänenvorbereitung, die Serveraktivierung und das Erstellen von Pools erforderlich ist, kein Lesezugriff mehr auf die Active Directory-Informationen gewährt, die in den Standardcontainern gespeichert sind. Diese Lesezugriffsberechtigungen für verschiedene Container in der Gesamtstruktur-Stammdomäne müssen manuell gewährt werden, damit das erforderliche Verfahren Gesamtstruktur vorbereiten abgeschlossen werden kann.

Wenn Sie Benutzern das Ausführen von Domäne vorbereiten, die Serveraktivierung und das Erstellen von Pools für Domänen unterhalb des Gesamtstrukturstamms ermöglichen möchten, können Sie folgende Schritte ausführen:

  • Verwenden Sie ein Konto, das Mitglied der Gruppe EnterpriseAdmins ist, um die Domänenvorbereitung auszuführen.
  • Verwenden Sie ein Konto, das Mitglied der Gruppe Domänen-Admins ist, und gewähren Sie diesem Konto Lesezugriffsberechtigungen für jeden der folgenden Container in der Gesamtstruktur-Stammdomäne:
    • Domäne
    • Konfiguration oder System

Wenn Sie kein Konto verwenden möchten, das Mitglied der Gruppe EnterpriseAdmins ist, um die Domänenvorbereitung oder andere Setupaufgaben durchzuführen, gewähren Sie dem betreffenden Konto explizit Lesezugriff auf die relevanten Container im Gesamtstrukturstamm.

So gewähren Sie einem Benutzer Lesezugriffsberechtigungen für Container in der Gesamtstruktur-Stammdomäne

  1. Melden Sie sich an dem Computer, der Mitglied der Gesamtstruktur-Stammdomäne ist, mit einem Konto an, das Mitglied der Gruppe Domänen-Admins für die Gesamtstruktur-Stammdomäne ist.

  2. Führen Sie adsiedit.msc für die Gesamtstruktur-Stammdomäne aus.

    Wenn die Zugriffssteuerungseinträge authentifizierter Benutzer aus dem Domänen-, Konfigurations- oder Systemcontainer entfernt wurden, müssen Sie für den Container Leseberechtigungen gewähren. Dies ist in den folgenden Schritten beschrieben.

  3. Klicken Sie mit der rechten Maustaste auf den Container, und klicken Sie auf Eigenschaften.

  4. Klicken Sie auf die Registerkarte Sicherheit.

  5. Klicken Sie auf Erweitert.

  6. Klicken Sie auf der Registerkarte Berechtigungen auf Hinzufügen.

  7. Geben Sie im folgenden Format den Namen des Benutzers bzw. der Gruppe ein, dem bzw. der die Berechtigungen zugewiesen werden sollen: domäne\kontoname

  8. Klicken Sie auf OK.

  9. Klicken Sie auf der Registerkarte Objekte unter Anwendung auf Nur dieses Objekt.

  10. Aktivieren Sie unter Berechtigungen die folgenden Zugriffssteuerungseinträge, indem Sie in die Spalte Zulassen klicken: Inhalt auflisten, Alle Eigenschaften lesen und Berechtigungen lesen.

  11. Klicken Sie zweimal auf OK.

  12. Wiederholen Sie diese Schritte für alle in Schritt 2 aufgelisteten relevanten Container.