コンピュータ オブジェクト、ユーザー オブジェクト、または InetOrgPerson オブジェクトのコンテナでアクセス許可の継承が無効になっている
トピックの最終更新日: 2009-04-24
Active Directory ドメイン サービス (AD DS) がロックダウンされると、多くの場合、ユーザー オブジェクトとコンピュータ オブジェクトは特定の組織単位 (OU) に置かれ、アクセス許可の継承が無効になります。これで管理業務の安全な委任が促進され、グループ ポリシー オブジェクト (GPO) を使用してセキュリティ ポリシーを執行できるようになります。
Office Communications Server 2007 R2 で必要とされるアクセス制御エントリ (ACE) は、ドメインの準備とサーバーのアクティブ化を通じて設定されます。アクセス許可の継承が無効になると、Office Communications Server のセキュリティ グループは、これらの ACE を継承できません。アクセス許可が継承されないと、Office Communications Server のセキュリティ グループは設定にアクセスできず、次の 2 つの問題が生じます。
- ユーザー、InetOrgPerson、および連絡先の管理やサーバーの操作を行う場合、Office Communications Server のセキュリティ グループは、ドメインの準備の手順によって設定された、各ユーザーのプロパティ セット、リアルタイム通信 (RTC)、RTC ユーザー検索、およびパブリック インフォメーションに対する ACE を必要とします。アクセス許可の継承が無効になっている場合、これらの ACE がセキュリティ グループに継承されないので、サーバーまたはユーザーを管理することができません。
- Office Communications Server サーバーは、アクティブ化手続きの中で Microsoft コンテナや Server オブジェクトなどのコンピュータ関連オブジェクトに設定される ACE を利用して、サーバーやプールを検出します。アクセス許可の継承が無効になると、セキュリティ グループ、サーバー、プールがこれらの ACE を継承しないため、ACE を利用できなくなります。
これらの問題に対処するために、Office Communications Server は詳細な Active Directory 準備手続きを提供しています。この手続きは CreateLcsOuPermissions と呼ばれ、LcsCmd.exe コマンド ライン ツールから利用することができます。この手続きは、Office Communications Server が必要とする ACE を、指定されたコンテナおよびそれに含まれるオブジェクトに対して直接設定します。
ドメインの準備手続き以後のユーザー、InetOrgPerson、および連絡先オブジェクトに対するアクセス許可の設定
ロックダウンされた Active Directory 環境では、アクセス許可の継承が無効になるため、ドメインの準備手続きの中で、ドメイン内のユーザー オブジェクトや InetOrgPerson オブジェクトを収容するコンテナに必要な ACE が設定されません。このような状況では、アクセス許可の継承が無効になっているユーザー オブジェクトや InetOrgPerson オブジェクトを収容する各コンテナに対して LcsCmd.exe を実行し、CreateLcsOuPermissions アクションを実施する必要があります。展開形態が中央フォレスト トポロジの場合は、連絡先オブジェクトを収容するコンテナに対しても、この手続きを実施する必要があります (中央フォレスト トポロジの詳細については、「サポートされている Active Directory トポロジ」を参照してください)。/objecttype パラメータは、オブジェクト タイプを指定します。
この手順を実行すると、指定したコンテナおよびそれに含まれるユーザー オブジェクトまたは InetOrgPerson オブジェクトに、必要な ACE が直接追加されます。
この手続きを実行するには、DomainAdmins グループ メンバと同等のユーザー権限が必要です。ロックダウン環境で認証済みユーザーの ACE が削除されている場合は、「認証済みユーザーのアクセス許可が削除されている」の説明に従い、フォレストのルート ドメイン内の該当コンテナに対する読み取りアクセス ACE を現在のアカウントに与えるか、または EnterpriseAdmins グループのメンバ アカウントを使用する必要があります。
ユーザー、InetOrgPerson、および連絡先オブジェクトに必要な ACE を設定するには
DomainAdmins グループのメンバ アカウントか、それと同等のユーザー権限を持つアカウントを使用して、当該ドメインに参加しているコンピュータにログオンします。
コマンド プロンプトを開き、次のコマンドを実行します。
LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CreateLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:<type of object to create Office Communications Server ACEs for – user, InetOrgPerson, contact, AppContact>次に例を示します。
LcsCmd.exe /domain /action:CreateLcsOuPermissions /ou:”OU=usersOU” /objectType:userログ ファイルで、各タスクの最後に <成功> という実行結果が表示されているかどうかを調べ、アクセス許可が設定されていることを確認し、ログ ウィンドウを閉じます。次のコマンドで、アクセス許可が設定されたかどうかを調べることもできます。
LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CheckLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:<type of object – user, InetOrgPerson, contact, AppContact
ドメイン準備手続き以後のコンピュータ オブジェクトに対するアクセス許可の設定
ロックダウンされた Active Directory 環境では、アクセス許可の継承が無効になるため、ドメインの準備手続きの中で、ドメイン内のコンピュータ オブジェクトを収容するコンテナに、必要な ACE が設定されません。このような状況では、アクセス許可の継承が無効になっている、Office Communications Server を実行中のコンピュータを含む各コンテナに対して LcsCmd.exe を実行して、CreateLcsOuPermissions アクションを実施する必要があります。/objecttype パラメータは、オブジェクト タイプを指定します。
この手続きを実行すると、必要な ACE が、指定したコンテナに直接追加されます。
この手続きを実行するには、DomainAdmins グループ メンバと同等のユーザー権限が必要です。認証済みユーザーの ACE も削除されている場合は、「認証済みユーザーのアクセス許可が削除されている」の説明に従い、フォレストのルート ドメイン内の該当コンテナに対する読み取りアクセス ACE を現在のアカウントに与えるか、EnterpriseAdmins グループのメンバ アカウントを使用する必要があります。
コンピュータ オブジェクトに必要な ACE を設定するには
DomainAdmins グループのメンバ アカウント、またはそれと同等のユーザー権限を持つアカウントを使用して、ドメインのコンピュータにログオンします。
コマンド プロンプトを開き、次のコマンドを実行します。
LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CreateLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>次に例を示します。
LcsCmd.exe /domain:resources.corp.woodgrovebank.com /action:CreateLcsOuPermissions /ou:”OU=computersOU” /objectType:computerログ ファイルで、各タスクの最後に <成功> という実行結果が表示されているかどうかを調べ、エラーがないことを確認し、ログ ウィンドウを閉じます。次のコマンドで、アクセス許可が設定されたかどうかを調べることもできます。
LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CheckLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>.gif "Dd441161.note(ja-jp,office.13).gif")
注:ロックダウンされた Active Directory 環境において、フォレストのルート ドメインでドメイン準備手続きを実行する場合は、Active Directory のスキーマ コンテナと構成コンテナへのアクセスが Office Communications Server で必要になることに注意してください。
認証済みユーザーの既定のアクセス許可が、AD DS 内のスキーマ コンテナまたは構成コンテナから削除されている場合は、Schema Admins グループまたは EnterpriseAdmins グループのメンバのみが、このコンテナにアクセスできます。Setup.exe、LcsCmd.exe、およびスナップインは、これらのコンテナへのアクセスを必要とします。そのため、インストールを実行するユーザーが Schema Admins および EnterpriseAdmins グループのメンバと同等のユーザー権限を持たない場合、管理ツールのセットアップとインストールは失敗します。
この状況に対処するには、スキーマ コンテナと構成コンテナへのアクセスを RTCUniversalGlobalReadOnly グループに与える必要があります。