Testen von Administratorberechtigungen in Lync Server 2013

 

Thema Letzte Änderung: 18.08.2014

Überprüfungszeitplan

Nach der ersten Lync Server-Bereitstellung. Bei Bedarf, wenn Berechtigungsprobleme auftreten.

Testtool

Windows PowerShell

Erforderliche Berechtigungen

Bei der lokalen Ausführung mithilfe der Lync Server-Verwaltungsshell müssen Benutzer Mitglieder der Sicherheitsgruppe RTCUniversalServerAdmins sein.

Wenn sie mit einer Remoteinstanz von Windows PowerShell ausgeführt werden, müssen Benutzern eine RBAC-Rolle zugewiesen werden, die über die Berechtigung zum Ausführen des Test-CsOUPermission-Cmdlets verfügt. Um eine Liste aller RBAC-Rollen anzuzeigen, die dieses Cmdlet verwenden können, führen Sie den folgenden Befehl an der Windows PowerShell Eingabeaufforderung aus:

Get-CsAdminRole | Where-Object {$_.Cmdlets -match "Test-CsOUPermission"}

Beschreibung

Wenn Sie Lync Server 2013 installieren, erhält die Gruppe "RTCUniversalUserAdmins" eine der Aufgaben, die vom Setupprogramm ausgeführt wurden, die Active Directory-Berechtigungen, die zum Verwalten von Benutzern, Computern, Kontakten, Anwendungskontakten und InetOrg-Personen erforderlich sind. Wenn Sie die Berechtigungsvererbung im Active Directory-Setup deaktiviert haben, können Sie diese Berechtigungen nicht zuweisen. Daher können Mitglieder der Gruppe "RTCUniversalUserAdmins" keine Lync Server-Entitäten verwalten. Diese Verwaltungsberechtigungen stehen nur Domänenadministratoren zur Verfügung.

Das cmdlet Test-CsOUPermission überprüft, ob die erforderlichen Berechtigungen zum Verwalten von Benutzern, Computern und anderen Objekten in einem Active Directory-Container festgelegt sind. Wenn diese Berechtigungen nicht festgelegt sind, können Sie dieses Problem beheben, indem Sie das Cmdlet Grant-CsOUPermission ausführen.

Beachten Sie, dass Grant-CsOUPermission nur Mitgliedern der Gruppe "RTCUniversalUserAdmins" Berechtigungen zuweisen kann. Sie können dieses Cmdlet nicht verwenden, um einem beliebigen Benutzer oder einer beliebigen Gruppe Berechtigungen zu erteilen. Wenn Sie möchten, dass ein anderer Benutzer oder eine andere Gruppe über Benutzerverwaltungsberechtigungen verfügt, sollten Sie diesen Benutzer (oder diese Gruppe) der Gruppe "RTCUniversalUserAdmins" hinzufügen.

Weitere Informationen zu OU-Berechtigungen finden Sie im Artikel Berechtigungsvererbung ist auf Computern, Benutzern oder InetOrgPerson-Containern in Lync Server 2013 deaktiviert.

Ausführen des Tests

Um zu überprüfen, ob Verwaltungsberechtigungen für einen Container festgelegt sind, führen Sie das cmdlet Test-CsOUPermission gefolgt vom Distinguished Name des Containers und dem Typ der Berechtigungen aus, die Sie überprüfen. Mit diesem Befehl wird beispielsweise überprüft, ob Benutzerberechtigungen für die OU ou=Redmond,dc=litwareinc,dc=com festgelegt sind:

Test-CsOUPermission -OU "ou=Redmond,dc=litwareinc,dc=com" -ObjectType "user"

Um mehrere Berechtigungen mithilfe eines einzigen Befehls zu überprüfen, schließen Sie jeden Berechtigungstyp in Anführungszeichen ein, und trennen Sie diese Typen dann durch Kommas. Mit diesem Befehl werden beispielsweise Benutzer-, Computer- und Kontaktberechtigungen überprüft:

Test-CsOUPermission -OU "ou=Redmond,dc=litwareinc,dc=com" -ObjectType "user", "computer", "contact"

Weitere Informationen finden Sie im Hilfethema zum Cmdlet Test-CsOUPermission .

Bestimmen von Erfolg oder Fehler

Wenn die erforderlichen Berechtigungen bereits festgelegt wurden, gibt Test-CsOUPermission eine Ein-Wort-Antwort zurück:

Wahr

Wenn die erforderlichen Berechtigungen nicht festgelegt sind, gibt Test-CsOUPermission den Wert False zurück. Möglicherweise müssen Sie einen Moment suchen, um diesen Wert zu finden. Es wird in der Regel in mehrere begleitende Warnungen eingebettet. Zum Beispiel:

WARNUNG: Access Control Entry (ACE) atl-cs-001\RTCUniversalUserReadOnlyGroup; Ermöglichen; ReadProperty; Containerinherit; Nachkommen; bf967aba-0de6-11d0-00aa003049e2; d819615a-3b9b-4738-b47e-f1bd8ee3aea4

WARNUNG: Die Zugriffssteuerungseinträge (ACEs) für das Objekt "OU=NorthAmerica,DC=atl-cs-001\DC=litwareinc,DC=com" sind nicht bereit.

Falsch

WARNUNG: Die Verarbeitung "Test-CsOUPermission" wurde mit Warnungen abgeschlossen. Während dieser Ausführung wurden "2" Warnungen aufgezeichnet.

WARNUNG: Detaillierte Ergebnisse finden Sie unter "C:\Users\Admin\AppData\Local\Temp\Test-CsOUPermission-5d7a89af-f854-4a9c-87e3-69e37e58de.html".

Gründe, warum der Test möglicherweise fehlgeschlagen ist

Wenn Test-CsOUPermission fehlschlägt, bedeutet dies normalerweise, dass die angegebene Berechtigung nicht der Gruppe "RTCUniversalUserAdmins" zugewiesen wurde. Sie können dieses Problem beheben und die erforderlichen Berechtigungen mithilfe des cmdlets Grant-CsOUPermission zuweisen. Mit diesem Befehl werden z. B. ou-Berechtigungen für Benutzer, Kontakte und inetOrgPersons an die Gruppe "RTCUniversalUserAdmins" erteilt:

Grant-CsOUPermission -OU "ou=Redmond,dc=litwareinc,dc=com" -ObjectType "user", "contact", "inetOrgPerson"

Weitere Informationen finden Sie im Hilfethema zum cmdlet Grant-CsOUPermission.