Vererbung von Berechtigungen ist für Computer-, Benutzer- oder InetOrgPerson-Container deaktiviert
Letztes Änderungsdatum des Themas: 2009-04-24
Bei gesperrten Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) werden Benutzer- und Computerobjekte häufig in speziellen Organisationseinheiten (Organizational Units, OUs) angeordnet. Dabei ist die Vererbung von Berechtigungen deaktiviert, um zum Schutz der administrativen Delegierung beizutragen und um die Verwendung von Gruppenrichtlinienobjekten zur Durchsetzung von Sicherheitsrichtlinien zu aktivieren.
Die Domänenvorbereitung und die Serveraktivierung legen die Zugriffssteuerungseinträge (Access Control Entries, ACEs) fest, die Office Communications Server 2007 R2 benötigt. Wenn die Vererbung von Berechtigungen deaktiviert ist, können die Office Communications Server-Sicherheitsgruppen diese Zugriffssteuerungseinträge nicht erben. Wenn diese Berechtigungen nicht vererbt werden, können die Office Communications Server-Sicherheitsgruppen nicht auf die Einstellungen zugreifen, was die beiden folgenden Probleme verursacht:
- Um Benutzer, InetOrgPersons und Kontakte zu verwalten und Server zu betreiben, benötigen die Office Communications Server-Sicherheitsgruppen Zugriffssteuerungseinträge, die vom Verfahren zur Domänenvorbereitung für die Eigenschaftensätze, den RTC-Eigenschaftensatz für die Benutzersuche und den Eigenschaftensatz für öffentliche Informationen der einzelnen Benutzer festgelegt wurden. Wenn die Vererbung von Berechtigungen deaktiviert ist, werden diese Zugriffssteuerungseinträge von den Sicherheitsgruppen nicht geerbt, sodass diese keine Server oder Benutzer verwalten können.
- Zum Ermitteln von Servern und Pools verwenden die Server mit Office Communications Server die Zugriffssteuerungseinträge, die bei der Aktivierung für computerbezogene Objekte festgelegt wurden, einschließlich des Microsoft-Container- und -Serverobjekts. Wenn die Vererbung von Berechtigungen deaktiviert ist, werden diese Zugriffssteuerungseinträge von Sicherheitsgruppen, Servern und Pools nicht geerbt und können nicht verwendet werden.
Um diese Probleme zu beheben, wird in Office Communications Server ein zusätzliches Verfahren zum Vorbereiten von Active Directory bereitgestellt: CreateLcsOuPermissions. Dies ist über das Befehlszeilentool LcsCmd.exe verfügbar. Mit diesem Verfahren werden die erforderlichen Zugriffssteuerungseinträge für Office Communications Server direkt für einen bestimmten Container und die darin enthaltenen Objekte festgelegt.
Festlegen von Berechtigungen für Benutzer-, InetOrgPerson- und Kontaktobjekte nach dem Ausführen der Domänenvorbereitung
In einer gesperrten Active Directory-Umgebung, in der die Vererbung von Berechtigungen deaktiviert ist, legt die Domänenvorbereitung die erforderlichen Zugriffssteuerungseinträge für Container, in denen die Benutzer- oder InetOrgPerson-Objekte der Domäne enthalten sind, nicht fest. In dieser Situation müssen Sie LcsCmd.exe mit der Aktion CreateLcsOuPermissions für jeden Container mit Benutzer- oder InetOrgPerson-Objekten ausführen, für die die Vererbung von Berechtigungen deaktiviert ist. Wenn eine Topologie mit einer zentralen Gesamtstruktur bereitgestellt wurde, müssen Sie dieses Verfahren auch für den Container mit Kontaktobjekten ausführen. (Ausführliche Informationen zu Topologien mit zentralen Gesamtstrukturen finden Sie unter Unterstützte Active Directory-Topologien.) Der Parameter /objecttype gibt den Objekttyp an.
Bei diesem Verfahren werden den betreffenden Containern und den Benutzer- bzw. InetOrgPerson-Objekten im Container die erforderlichen Zugriffssteuerungseinträge direkt hinzugefügt.
Für die Durchführung dieses Verfahrens sind Benutzerrechte erforderlich, über die Benutzer bei einer Mitgliedschaft in der Gruppe Domänen-Admins verfügen. Wenn die Zugriffssteuerungseinträge für authentifizierte Benutzer auch in der gesperrten Umgebung entfernt wurden, müssen Sie diesem Konto Zugriffssteuerungseinträge für den Lesezugriff auf die entsprechenden Container in der Gesamtstruktur-Stammdomäne hinzufügen. Dies ist unter Berechtigungen für authentifizierte Benutzer wurden entfernt beschrieben. Alternativ dazu können Sie ein Konto verwenden, das Mitglied der Gruppe Organisations-Admins ist.
So legen Sie die erforderlichen Zugriffssteuerungseinträge für Benutzer-, InetOrgPerson- und Kontaktobjekte fest
Melden Sie sich an einem Computer an, der in der Domäne mit einem Konto angemeldet ist, das Mitglied der Gruppe Domänen-Admins ist oder das über gleichwertige Benutzerrechte verfügt.
Öffnen Sie eine Eingabeaufforderung, und führen Sie Folgendes aus:
LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CreateLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:<type of object to create Office Communications Server ACEs for – user, InetOrgPerson, contact, AppContact>Beispiel:
LcsCmd.exe /domain /action:CreateLcsOuPermissions /ou:”OU=usersOU” /objectType:userSuchen Sie in der Protokolldatei am Ende jeder Aufgabe nach dem Ausführungsergebnis <Erfolg>, um sicherzustellen, dass die Berechtigungen festgelegt wurden. Schließen Sie anschließend das Protokollfenster. Sie können auch den folgenden Befehl ausführen, um zu ermitteln, ob die Berechtigungen festgelegt wurden:
LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CheckLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:<type of object – user, InetOrgPerson, contact, AppContact
Festlegen von Berechtigungen für Computerobjekte nach der Ausführung der Domänenvorbereitung
In einer gesperrten Active Directory-Umgebung, in der die Vererbung von Berechtigungen deaktiviert ist, legt die Domänenvorbereitung die erforderlichen Zugriffssteuerungseinträge für Container, in denen die Computerobjekte der Domäne enthalten sind, nicht fest. In dieser Situation müssen Sie LcsCmd.exe mit der Aktion CreateLcsOuPermissions für jeden Container mit Office Communications Server-Computern ausführen, für die die Vererbung von Berechtigungen deaktiviert ist. Der Parameter /objecttype gibt den Objekttyp an.
Bei diesem Verfahren werden die erforderlichen Zugriffssteuerungseinträge den angegebenen Containern direkt hinzugefügt.
Für die Durchführung dieses Verfahrens sind Benutzerrechte erforderlich, über die Benutzer bei einer Mitgliedschaft in der Gruppe Domänen-Admins verfügen. Wenn die Zugriffssteuerungseinträge für authentifizierte Benutzer auch entfernt wurden, müssen Sie diesem Konto Zugriffssteuerungseinträge für den Lesezugriff auf die entsprechenden Container in der Gesamtstruktur-Stammdomäne hinzufügen. Dies ist unter Berechtigungen für authentifizierte Benutzer wurden entfernt beschrieben. Alternativ dazu können Sie ein Konto verwenden, das Mitglied der Gruppe Organisations-Admins ist.
So legen Sie die erforderlichen Zugriffssteuerungseinträge für Computerobjekte fest
Melden Sie sich am Domänencomputer mit einem Konto an, das Mitglied der Gruppe Domänen-Admins ist oder das über gleichwertige Benutzerrechte verfügt.
Öffnen Sie eine Eingabeaufforderung, und führen Sie Folgendes aus:
LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CreateLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>Beispiel:
LcsCmd.exe /domain:resources.corp.woodgrovebank.com /action:CreateLcsOuPermissions /ou:”OU=computersOU” /objectType:computerSuchen Sie in der Protokolldatei am Ende jeder Aufgabe nach dem Ausführungsergebnis <Erfolg>, stellen Sie sicher, dass keine Fehler vorliegen, und schließen Sie das Protokoll. Sie können auch den folgenden Befehl ausführen, um zu ermitteln, ob die Berechtigungen festgelegt wurden:
LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CheckLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>.gif "Dd441161.note(de-de,office.13).gif")
Hinweis:Wenn Sie die Domänenvorbereitung für die Gesamtstruktur-Stammdomäne in einer gesperrten Active Directory-Umgebung ausführen, müssen Sie berücksichtigen, dass Office Communications Server auf die Schema- und Konfigurationscontainer von Active Directory zugreifen muss.
Wenn die Standardberechtigung für authentifizierte Benutzer aus den Schema- bzw. Konfigurationscontainern in AD DS entfernt wurde, verfügen nur Mitglieder der Gruppe Schema-Admins bzw. Organisations-Admins über Zugriff auf diesen Container. Da Setup.exe, LcsCmd.exe und das Snap-In auf diese Container zugreifen müssen, tritt bei Ausführen von Setup und bei der Installation der Verwaltungstools ein Fehler auf, wenn der ausführende Benutzer nicht über die Benutzerrechte eines Schema-Admins oder Organisations-Admins verfügt.
Um dieses Problem zu beheben, müssen Sie der Gruppe RTCUniversalGlobalReadOnly Zugriff auf die Schema- und Konfigurationscontainer gewähren.