Vererbung von Berechtigungen ist für Computer-, Benutzer- oder InetOrgPerson-Container deaktiviert in Lync Server 2013
Thema Letzte Änderung: 19.12.2014
In einer gesperrten Active Directory Domain Services werden Benutzer- und Computerobjekte häufig in bestimmten Organisationseinheiten (OUs) platziert, wobei die Berechtigungsvererbung deaktiviert ist, um die administrative Delegierung zu sichern und die Verwendung von Gruppenrichtlinie Objekten (GPOs) zum Erzwingen von Sicherheitsrichtlinien zu ermöglichen.
Domänenvorbereitung und Serveraktivierung legen die zugriffssteuerungseinträge (ACCESS Control Entries, ACEs) fest, die von Lync Server 2013 benötigt werden. Wenn die Berechtigungsvererbung deaktiviert ist, können die Lync Server-Sicherheitsgruppen diese ACEs nicht erben. Wenn diese Berechtigungen nicht geerbt werden, können Lync Server-Sicherheitsgruppen nicht auf Einstellungen zugreifen, und die folgenden beiden Probleme treten auf:
Um Benutzer, InetOrgPersons und Kontakte zu verwalten und Server zu betreiben, benötigen die Lync Server-Sicherheitsgruppen ACEs, die durch das Domänenvorbereitungsverfahren für die Eigenschaftensätze der einzelnen Benutzer, rtc-Echtzeitkommunikation (Real-Time Communications, RTC User Search) und öffentliche Informationen festgelegt werden. Wenn die Berechtigungsvererbung deaktiviert ist, erben Sicherheitsgruppen diese ACEs nicht und können keine Server oder Benutzer verwalten.
Um Server und Pools zu ermitteln, basieren Server, auf denen Lync Server ausgeführt wird, auf ACEs, die durch Aktivierung für computerbezogene Objekte festgelegt wurden, einschließlich des Microsoft Container- und Server-Objekts. Wenn die Berechtigungsvererbung deaktiviert ist, erben Sicherheitsgruppen, Server und Pools diese ACEs nicht und können diese ACEs nicht nutzen.
Um diese Probleme zu beheben, stellt Lync Server das Cmdlet Grant-CsOuPermission bereit. Dieses Cmdlet legt erforderliche Lync Server-ACEs direkt auf einen angegebenen Container und organisationsweite Einheiten und die Objekte innerhalb des Containers oder der Organisationseinheit fest.
Festlegen von Berechtigungen für Benutzer-, InetOrgPerson- und Kontaktobjekte nach dem Ausführen der Domänenvorbereitung
In einer gesperrten Active Directory-Umgebung, in der die Berechtigungsvererbung deaktiviert ist, legt die Domänenvorbereitung nicht die erforderlichen ACEs für die Container oder Organisationseinheiten fest, die Benutzer- oder InetOrgPerson-Objekte innerhalb der Domäne enthalten. In diesem Fall müssen Sie das Cmdlet "Grant-CsOuPermission " für jeden Container oder jede OU ausführen, deren Objekte "User" oder "InetOrgPerson" enthalten sind, für die die Berechtigungsvererbung deaktiviert ist. Wenn Sie über eine zentrale Gesamtstrukturtopologie verfügen, müssen Sie dieses Verfahren auch für die Container oder OUs ausführen, die Kontaktobjekte enthalten. Ausführliche Informationen zu Topologien für zentrale Gesamtstrukturen finden Sie in der Dokumentation zur Unterstützung von Active Directory-Topologien in Lync Server 2013 . Der ObjectType-Parameter gibt den Objekttyp an. Der OU-Parameter gibt die Organisationseinheit an.
Dieses Cmdlet fügt die erforderlichen ACEs direkt zu den angegebenen Containern oder OUs und den User- oder InetOrgPerson-Objekten innerhalb des Containers hinzu. Wenn die OU, in der dieser Befehl ausgeführt wird, untergeordnete OUs mit User- oder InetOrgPerson-Objekten aufweist, werden die Berechtigungen auf diese nicht angewendet. Sie müssen den Befehl für jede untergeordnete OE einzeln ausführen. Dies ist ein häufiges Szenario bei Lync-Hostingbereitstellungen, z. B. übergeordnete OU=OCS-Mandanten, DC=CONTOSO,DC=LOCAL und untergeordnete OU=Tenant1, OU=OCS Tenants ,DC=CONTOSO,DC=LOCAL.
Sie benötigen Benutzerrechte, die der Gruppenmitgliedschaft von Domänenadministratoren entsprechen, um dieses Cmdlet ausführen zu können. Wenn die ACEs des authentifizierten Benutzers auch in der gesperrten Umgebung entfernt wurden, müssen Sie diesem Konto Lesezugriff auf ACEs für die relevanten Container oder OUs in der Gesamtstrukturstammdomäne gewähren, wie in Lync Server 2013 beschrieben authentifizierte Benutzerberechtigungen entfernt werden , oder ein Konto verwenden, das Mitglied der Gruppe "Unternehmensadministratoren" ist.
So legen Sie erforderliche ACEs für Benutzer-, InetOrgPerson- und Contact-Objekte fest
Melden Sie sich bei einem Computer an, der der Domäne beigetreten ist, mit einem Konto, das Mitglied der Gruppe "Domänenadministratoren" ist oder über gleichwertige Benutzerrechte verfügt.
Starten Sie die Lync Server-Verwaltungsshell: Klicken Sie auf "Start", dann auf "Alle Programme", dann auf "Microsoft Lync Server 2013" und dann auf "Lync Server-Verwaltungsshell".
Führen Sie folgenden Befehl aus:
Grant-CsOuPermission -ObjectType <User | Computer | InetOrgPerson | Contact | AppContact | Device> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]Wenn Sie den Parameter "Domain" nicht angeben, ist der Standardwert die lokale Domäne.
Zum Beispiel:
Grant-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net"Suchen Sie in der Protokolldatei nach dem Ergebnis der Erfolgreichen> Ausführung am Ende jeder Aufgabe, um zu überprüfen, ob die Berechtigungen festgelegt wurden, und schließen Sie dann das Protokollfenster.< Sie können auch den folgenden Befehl ausführen, um festzustellen, ob die Berechtigungen festgelegt wurden:
Test-CsOuPermission -ObjectType <type of object> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>] [-Report <fully qualified path and name of file to create>]Zum Beispiel:
Test-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net" -Report "C:\Log\OUPermissionsTest.html"
Festlegen von Berechtigungen für Computerobjekte nach dem Ausführen der Domänenvorbereitung
In einer gesperrten Active Directory-Umgebung, in der die Berechtigungsvererbung deaktiviert ist, legt die Domänenvorbereitung nicht die erforderlichen ACEs für die Container oder OUs fest, die Computerobjekte innerhalb der Domäne enthalten. In diesem Fall müssen Sie das Cmdlet Grant-CsOuPermission auf jedem Container oder jeder OE ausführen, auf dem Computer mit Lync Server ausgeführt werden, auf denen die Berechtigungsvererbung deaktiviert ist. Der ObjectType-Parameter gibt den Objekttyp an.
Mit diesem Verfahren werden die erforderlichen ACEs direkt zu den angegebenen Containern hinzugefügt.
Sie benötigen Benutzerrechte, die der Gruppenmitgliedschaft von Domänenadministratoren entsprechen, um dieses Cmdlet ausführen zu können. Wenn die ACEs des authentifizierten Benutzers ebenfalls entfernt wurden, müssen Sie diesem Konto Lesezugriff auf ACEs für die relevanten Container in der Stammdomäne der Gesamtstruktur gewähren, wie unter Authentifizierte Benutzerberechtigungen in Lync Server 2013 beschrieben, oder ein Konto verwenden, das Mitglied der Gruppe "Unternehmensadministratoren" ist.
So legen Sie erforderliche ACEs für Computerobjekte fest
Melden Sie sich auf dem Domänencomputer mit einem Konto an, das Mitglied der Gruppe "Domänenadministratoren" ist oder über gleichwertige Benutzerrechte verfügt.
Starten Sie die Lync Server-Verwaltungsshell: Klicken Sie auf "Start", dann auf "Alle Programme", dann auf "Microsoft Lync Server 2013" und dann auf "Lync Server-Verwaltungsshell".
Führen Sie folgenden Befehl aus:
Grant-CsOuPermission -ObjectType <Computer> -OU <DN name for the computer OU container relative to the domain root container DN> [-Domain <Domain FQDN>][-Report <fully qualified path and name of output report>]Wenn Sie den Parameter "Domain" nicht angeben, ist der Standardwert die lokale Domäne.
Zum Beispiel:
Grant-CsOuPermission -ObjectType "Computer" -OU "ou=Lync Servers,dc=litwareinc,dc=com" -Report "C:\Logs\OUPermissions.xml"In der Beispielprotokolldatei C:\Logs\OUPermissions.xml würden Sie am Ende jeder Aufgabe nach dem Ergebnis der< Erfolgreichen> Ausführung suchen und überprüfen, ob keine Fehler vorhanden sind, und dann das Protokoll schließen. Sie können das folgende Cmdlet ausführen, um Berechtigungen zu testen:
Test-CsOuPermission -ObjectType <type of object> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]Zum Beispiel:
Test-CsOuPermission -ObjectType "user","contact" -OU "cn=Bellevue,dc=contoso,dc=net" -Domain "contoso.net"Hinweis
Wenn Sie die Domänenvorbereitung für die Stammdomäne der Gesamtstruktur in einer gesperrten Active Directory-Umgebung ausführen, beachten Sie, dass Lync Server Zugriff auf die Active Directory-Schema- und Konfigurationscontainer benötigt.
Wenn die standardmäßige authentifizierte Benutzerberechtigung aus dem Schema oder den Konfigurationscontainern in AD DS entfernt wird, dürfen nur Mitglieder der Gruppe "Schemaadministratoren" (für "Schemacontainer") oder der Gruppe "Unternehmensadministratoren" (für den Konfigurationscontainer) auf den angegebenen Container zugreifen. Da Setup.exe, Lync Server-Verwaltungsshell-Cmdlets und Lync Server-Systemsteuerung Zugriff auf diese Container erfordern, schlagen Setup und Installation der Verwaltungstools fehl, es sei denn, der Benutzer, der die Installation ausführt, verfügt über Benutzerrechte, die der Gruppenmitgliedschaft von Schemaadministratoren und Unternehmensadministratoren entsprechen.
Um diese Situation zu beheben, müssen Sie der RTCUniversalGlobalWriteGroup-Gruppe Lese-, Schreibzugriff auf die Schema- und Konfigurationscontainer gewähren.