Entfernte Berechtigungen für authentifizierte Benutzer in Lync Server 2013

  • Artikel

 

Thema Letzte Änderung: 21.02.2013

In einer gesperrten Active Directory-Umgebung werden authentifizierte Benutzerzugriffssteuerungseinträge (ACEs) aus den Standardmäßigen Active Directory-Containern entfernt, einschließlich der Benutzer-, Konfigurations- oder System- und Organisationseinheiten (OUs), in denen Benutzer- und Computerobjekte gespeichert werden. Das Entfernen authentifizierter Benutzer-ACEs verhindert den Lesezugriff auf Active Directory-Informationen. Das Entfernen der ACEs verursacht jedoch Probleme für Lync Server 2013, da es von Leseberechtigungen für diese Container abhängt, damit Benutzer die Domänenvorbereitung ausführen können.

In diesem Fall gewährt die Mitgliedschaft in der Gruppe "Domänenadministratoren", die zum Ausführen der Domänenvorbereitung, Serveraktivierung und Poolerstellung erforderlich ist, keinen Lesezugriff mehr auf Active Directory-Informationen, die in den Standardcontainern gespeichert sind. Sie müssen manuell Lesezugriffsberechtigungen für verschiedene Container in der Gesamtstrukturstammdomäne erteilen, um zu überprüfen, ob das erforderliche Verfahren zur Vorbereitung der Gesamtstruktur abgeschlossen ist.

Um einem Benutzer die Ausführung der Domänenvorbereitung, Serveraktivierung oder Poolerstellung für eine beliebige Stammdomäne ohne Gesamtstruktur zu ermöglichen, haben Sie die folgenden Optionen:

  • Verwenden Sie ein Konto, das Mitglied der Gruppe "Unternehmensadministratoren" ist, um die Domänenvorbereitung auszuführen.

  • Verwenden Sie ein Konto, das Mitglied der Gruppe "Domänenadministratoren" ist, und gewähren Sie diesem Konto Lesezugriffsberechtigungen für jeden der folgenden Container in der Stammdomäne der Gesamtstruktur:

    • Domäne

    • Konfiguration oder System

Wenn Sie kein Konto verwenden möchten, das Mitglied der Gruppe "Unternehmensadministratoren" ist, um Domänenvorbereitungs- oder andere Setupaufgaben auszuführen, gewähren Sie explizit dem Konto, das Lesezugriff auf die relevanten Container im Gesamtstrukturstamm verwenden möchten.

So erteilen Sie Benutzern Lesezugriffsberechtigungen für Container in der Gesamtstrukturstammdomäne

  1. Melden Sie sich bei dem Computer an, der der Stammdomäne der Gesamtstruktur beigetreten ist, mit einem Konto, das Mitglied der Gruppe "Domänenadministratoren" für die Gesamtstrukturstammdomäne ist.

  2. Führen Sie adsiedit.msc für die Stammdomäne der Gesamtstruktur aus.

    Wenn authentifizierte Benutzer-ACEs aus dem Domänen-, Konfigurations- oder Systemcontainer entfernt wurden, müssen Sie dem Container schreibgeschützte Berechtigungen erteilen, wie in den folgenden Schritten beschrieben.

  3. Klicken Sie mit der rechten Maustaste auf den Container, und klicken Sie dann auf "Eigenschaften".

  4. Klicken Sie auf die Registerkarte " Sicherheit ".

  5. Klicken Sie auf Erweitert.

  6. Klicken Sie auf der Registerkarte "Berechtigungen " auf "Hinzufügen".

  7. Geben Sie den Namen des Benutzers oder der Gruppe ein, der Berechtigungen erhält, indem Sie das folgende Format verwenden: domain\account name, und klicken Sie dann auf "OK".

  8. Klicken Sie auf der Registerkarte "Objekte " unter "Gilt für" auf "Nur dieses Objekt".

  9. Wählen Sie in "Berechtigungen" die folgenden "AcEs zulassen" aus, indem Sie auf die Spalte "Zulassen " klicken: "Inhalt auflisten", " Alle Eigenschaften lesen" und "Berechtigungen lesen".

  10. Klicken Sie zweimal auf "OK ".

  11. Wiederholen Sie diese Schritte für alle relevanten Container, die in Schritt 2 aufgeführt sind.