• Artículo

Se quitan los permisos de usuarios autenticados

Última modificación del tema: 2009-01-23

En un entorno de los Servicios de dominio de Active Directory (AD DS) bloqueado, las entradas de control de acceso (ACE) de los usuarios autenticados se eliminan de los contenedores de Active Directory predeterminados, incluidos el de usuarios, el de configuración y el de sistema, y de las unidades organizativas (OU) donde se almacenan los objetos de usuario y de equipo. Al eliminar las ACE de los usuarios autenticados se evita el acceso de lectura a la información de Active Directory. Al eliminar las ACE, sin embargo, se crean problemas para Office Communications Server, porque depende del permiso de lectura a estos contenedores para permitir que los usuarios ejecuten la preparación del dominio.

En esta situación, la pertenencia al grupo Admins. del dominio, necesaria para ejecutar la preparación del dominio, la activación de los servidores y la creación de grupos de servidores, ya no concede acceso de lectura a la información de Active Directory almacenada en los contenedores predeterminados. Debe conceder manualmente permisos de acceso de lectura en diversos contenedores del dominio raíz del bosque para comprobar si se ha realizado correctamente el requisito previo de preparación del bosque.

Para permitir que los usuarios ejecuten la preparación del dominio, la activación de los servidores o la creación de grupos de servidores en cualquier dominio que no pertenezca a la raíz del bosque, dispone de las siguientes opciones:

  • Utilizar una cuenta que sea miembro del grupo Administradores de empresas para ejecutar la preparación del dominio
  • Utilizar una cuenta que sea miembro del grupo Admins. del dominio y conceder permisos de acceso de lectura a esta cuenta en cada uno de los contenedores siguientes del dominio raíz del bosque:
    • Dominio
    • Configuración o sistema

Si no desea utilizar una cuenta que sea miembro del grupo Administradores de empresas para ejecutar la preparación del dominio o realizar otras tareas de configuración, conceda explícitamente a la cuenta que desea utilizar acceso de lectura en los contenedores pertinentes de la raíz del bosque.

Para conceder a un usuario permisos de acceso de lectura en los contenedores del dominio raíz del bosque

  1. Inicie sesión en el equipo que pertenece al dominio raíz del bosque con una cuenta que sea miembro del grupo Admins. del dominio raíz del bosque.

  2. Ejecute adsiedit.msc para el dominio raíz del bosque.

    Si se han eliminado las ACE de los usuarios autenticados de los contenedores de dominio, configuración o sistema, debe conceder permisos de sólo lectura en el contenedor, tal y como se describe en los pasos siguientes.

  3. Haga clic con el botón secundario en el contenedor y, a continuación, haga clic en Propiedades.

  4. Haga clic en la ficha Seguridad.

  5. Haga clic en Avanzadas.

  6. En la ficha Permisos, haga clic en Agregar.

  7. Escriba el nombre del usuario o del grupo que recibe permisos usando el siguiente formato: dominio\nombre de cuenta.

  8. Haga clic en Aceptar.

  9. En la ficha Objetos, en Aplicar en, haga clic en Sólo este objeto.

  10. En Permisos, seleccione las siguientes entradas ACE de permiso haciendo clic en la columna Permitir: Mostrar contenido, Leer todas las propiedades y Permisos de lectura.

  11. Haga clic dos veces en Aceptar.

  12. Repita estos pasos para cualquiera de los contenedores enumerados en el paso 2.