La herencia de permisos está deshabilitada en los contenedores Computer, User o InetOrgPerson
Última modificación del tema: 2009-04-24
En un Servicio de dominio de Active Directory (AD DS) bloqueado, los objetos de usuario y equipo se colocan a menudo en unidades organizativas específicas con la herencia de permisos deshabilitada para ayudar a proteger la delegación administrativa y para permitir al uso de objetos de directiva de grupo para la aplicación de directivas de seguridad.
La preparación del dominio y la activación del servidor definen las entradas de control de acceso (ACE) necesarias para Office Communications Server 2007 R2. Cuando la herencia de permisos está deshabilitada, los grupos de seguridad de Office Communications Server no pueden heredar estas entradas ACE de la raíz del dominio. Cuando estos permisos no se heredan, los grupos de seguridad de Office Communications Server no pueden tener acceso a la configuración y surgen los dos problemas siguientes:
- Para administrar los objetos User, InetOrgPerson y Contact y para activar los servidores, los grupos de seguridad de Office Communications Server requieren entradas ACE establecidas por el procedimiento de preparación del dominio en los conjuntos de propiedades Comunicaciones en tiempo real (RTC), Búsqueda de usuarios RTC e Información pública de cada usuario. Cuando la herencia de permisos está deshabilitada, los grupos de seguridad no heredan estas entradas ACE y no pueden administrar los servidores o usuarios.
- Para detectar los servidores y grupos de servidores, los servidores Office Communications Server se basan en las entradas ACE establecidas mediante la activación en los objetos relativos a equipos, incluidos el objeto Server y el contenedor de Microsoft. Cuando la herencia de permisos está deshabilitada, los grupos de seguridad, servidores y grupos de servidores no heredan estas entradas ACE y no pueden aprovecharlas.
Para resolver estos problemas, Office Communications Server proporciona un procedimiento de preparación de Active Directory adicional denominado CreateLcsOuPermissions, disponible con la herramienta de línea de comandos LcsCmd.exe. Este procedimiento establece directamente las entradas ACE de Office Communications Server necesarias en un contenedor especificado y en los objetos incluidos en el contenedor.
Definir permisos para los objetos User, InetOrgPerson y Contact después de la preparación del dominio
En un entorno con Active Directory bloqueado donde la herencia de permisos está deshabilitada, la preparación del dominio no establece las entradas ACE necesarias en los contenedores que incluyen los objetos User o InetOrgPerson dentro del dominio. En esta situación, debe ejecutar LcsCmd.exe con la acción CreateLcsOuPermissions en cada contenedor que tenga objetos User o InetOrgPerson para los que la herencia de permisos esté deshabilitada. Si tiene una topología de bosque central, debe realizar también este procedimiento en el contenedor que contiene los objetos Contact. (Para obtener información detallada sobre las topologías de bosque central, vea Topologías compatibles de Active Directory). El parámetro /objecttype especifica el tipo de objeto.
Este procedimiento agrega las entradas ACE necesarias directamente en los contenedores especificados y los objetos User o InetOrgPerson del contenedor.
Para realizar este procedimiento, se requieren derechos de usuario equivalentes a los de los miembros del grupo Admins. del dominio. Si también se han quitado las entradas ACE de usuarios autenticados en el entorno bloqueado, debe conceder a esta cuenta acceso de lectura a las entradas ACE en los contenedores relevantes del dominio raíz del bosque, como se describe en Se quitan los permisos de usuarios autenticados, o usar una cuenta que sea miembro del grupo Administradores de organización.
Para establecer las entradas ACE necesarias para los objetos User, InetOrgPerson y Contact
Inicie sesión en un equipo unido al dominio con una cuenta que sea miembro del grupo Admins. del dominio o que tenga derechos de usuario equivalentes.
Abra un símbolo del sistema y ejecute:
LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CreateLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:<type of object to create Office Communications Server ACEs for – user, InetOrgPerson, contact, AppContact>Por ejemplo:
LcsCmd.exe /domain /action:CreateLcsOuPermissions /ou:”OU=usersOU” /objectType:userEn el archivo de registro, busque el resultado de ejecución <Correcto> al final de cada tarea para comprobar que se establecieron los permisos y, a continuación, cierre la ventana de registro. También puede ejecutar el comando siguiente para determinar si se establecieron los permisos:
LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CheckLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:<type of object – user, InetOrgPerson, contact, AppContact
Establecer permisos para objetos Computer después de ejecutar la preparación del dominio
En un entorno con Active Directory bloqueado donde la herencia de permisos está deshabilitada, la preparación del dominio no establece las entradas ACE necesarias en los contenedores que incluyen los objetos Computer dentro del dominio. En esta situación, debe ejecutar LcsCmd.exe con la acción CreateLcsOuPermissions en cada contenedor que tenga equipos que ejecutan Office Communications Server con la herencia de permisos deshabilitada. El parámetro /objecttype especifica el tipo de objeto.
Este procedimiento agrega las entradas ACE necesarias directamente en los contenedores especificados.
Para realizar este procedimiento, se requieren derechos de usuario equivalentes a los de los miembros del grupo Admins. del dominio. Si también se han quitado las entradas ACE de usuarios autenticados, debe conceder a esta cuenta acceso de lectura a las entradas ACE en los contenedores relevantes del dominio raíz del bosque, como se describe en Se quitan los permisos de usuarios autenticados, o usar una cuenta que sea miembro del grupo Administradores de organización.
Para establecer las entradas ACE necesarias para los objetos Computer
Inicie sesión en un equipo del dominio con una cuenta que sea miembro del grupo Admins. del dominio o que tenga derechos de usuario equivalentes.
Abra un símbolo del sistema y ejecute:
LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CreateLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>Por ejemplo:
LcsCmd.exe /domain:resources.corp.woodgrovebank.com /action:CreateLcsOuPermissions /ou:”OU=computersOU” /objectType:computerEn el archivo de registro, busque el resultado de ejecución <Correcto> al final de cada tarea y compruebe que no hay errores; a continuación, cierre la ventana de registro. También puede ejecutar el comando siguiente para determinar si se establecieron los permisos:
LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CheckLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>Nota
Si ejecuta la preparación del dominio en el dominio raíz del bosque en un entorno con Active Directory bloqueado, tenga en cuenta que Office Communications Server necesita tener acceso a los contenedores de esquema y de configuración en Active Directory.
Si se quita el permiso de usuario autenticado predeterminado de los contenedores de esquema o de configuración en AD DS, solo los miembros del grupo Administradores de esquema o Administradores de organización podrán tener acceso a estos contenedores. Dado que Setup.exe, LcsCmd.exe y el complemento necesitan tener acceso a estos contenedores, el programa de instalación y la instalación de las herramientas administrativas no se podrán ejecutar a menos que el usuario que ejecuta la instalación tenga derechos de usuario equivalentes a los de los miembros del grupo Administradores de esquema y Administradores de organización.
Para solucionar esta situación, deberá conceder al grupo RTCUniversalGlobalReadOnly acceso a los contenedores de esquema y de configuración.