已驗證的使用者權限已移除
上次修改主題的時間: 2010-10-17
在鎖定的 Active Directory 環境中,會從預設 Active Directory 容器 (包括「使用者」、「設定」或「系統」,以及儲存「使用者」和「電腦」物件的組織單位 (OU)) 中移除已驗證的使用者存取控制項目 (ACE)。移除已驗證的使用者 ACE,可防止對 Active Directory 資訊進行讀取存取。不過,移除 ACE 也會讓 Lync Server 2010 產生問題,因為它必須依賴這些容器的讀取權限,才能讓使用者執行網域準備作業。
在此情況下,Domain Admins 群組的成員資格 (執行網域準備、伺服器啟動及集區建立所需的成員資格) 就不會再授與預設容器中所儲存 Active Directory 資訊的讀取存取權。您必須手動授與樹系根網域中各種容器的讀取存取權限,才能檢查必要的樹系準備程序是否完成。
若要啟用使用者,以便在任何非樹系根網域上執行網域準備、伺服器啟動或集區建立作業,您有以下的選項:
使用屬於 Enterprise Admins 群組成員的帳戶執行網域準備作業
使用為 Domain Admins 群組成員的帳戶,並將樹系根網域中下列每個容器的讀取存取權限授與此帳戶:
網域
設定或系統
如果您不想要使用屬於 Enterprise Admins 群組成員的帳戶來執行網域準備或其他設定工作,請將樹系根中相關容器的讀取存取權明確授與想要使用的帳戶。
將樹系根網域中容器的讀取存取權限授與使用者
使用屬於樹系根網域之 Domain Admins 群組成員的帳戶,登入已加入樹系根網域的電腦。
為樹系根網域執行 adsiedit.msc。
如果已從「網域」、「設定」或「系統」容器中移除已驗證的使用者 ACE,則必須授與容器的唯讀權限 (如下列各步驟所述)。
用滑鼠右鍵按一下容器,然後按一下 [內容]。
按一下 [安全性] 索引標籤。
按一下 [進階]。
在 [使用權限] 索引標籤上,按一下 [新增]。
使用下列格式,輸入接收權限的使用者或群組名稱:
domain\account name
,然後按一下 [確定]。在 [物件] 索引標籤的 [套用到] 中,按一下 [只有此物件]。
在 [使用權限] 中,按一下 [允許] 欄以選取下列「允許 ACE」:[清單內容]、[讀取全部內容] 和 [讀取權限]。
按兩次 [確定]。
針對步驟 2 中列出的任何相關容器,重複執行上述步驟。