Share via

  • 發行項

已驗證的使用者權限已移除

 

上次修改主題的時間: 2010-10-17

在鎖定的 Active Directory 環境中,會從預設 Active Directory 容器 (包括「使用者」、「設定」或「系統」,以及儲存「使用者」和「電腦」物件的組織單位 (OU)) 中移除已驗證的使用者存取控制項目 (ACE)。移除已驗證的使用者 ACE,可防止對 Active Directory 資訊進行讀取存取。不過,移除 ACE 也會讓 Lync Server 2010 產生問題,因為它必須依賴這些容器的讀取權限,才能讓使用者執行網域準備作業。

在此情況下,Domain Admins 群組的成員資格 (執行網域準備、伺服器啟動及集區建立所需的成員資格) 就不會再授與預設容器中所儲存 Active Directory 資訊的讀取存取權。您必須手動授與樹系根網域中各種容器的讀取存取權限,才能檢查必要的樹系準備程序是否完成。

若要啟用使用者,以便在任何非樹系根網域上執行網域準備、伺服器啟動或集區建立作業,您有以下的選項:

  • 使用屬於 Enterprise Admins 群組成員的帳戶執行網域準備作業

  • 使用為 Domain Admins 群組成員的帳戶,並將樹系根網域中下列每個容器的讀取存取權限授與此帳戶:

    • 網域

    • 設定或系統

如果您不想要使用屬於 Enterprise Admins 群組成員的帳戶來執行網域準備或其他設定工作,請將樹系根中相關容器的讀取存取權明確授與想要使用的帳戶。

將樹系根網域中容器的讀取存取權限授與使用者

  1. 使用屬於樹系根網域之 Domain Admins 群組成員的帳戶,登入已加入樹系根網域的電腦。

  2. 為樹系根網域執行 adsiedit.msc。

    如果已從「網域」、「設定」或「系統」容器中移除已驗證的使用者 ACE,則必須授與容器的唯讀權限 (如下列各步驟所述)。

  3. 用滑鼠右鍵按一下容器,然後按一下 [內容]

  4. 按一下 [安全性] 索引標籤。

  5. 按一下 [進階]

  6. [使用權限] 索引標籤上,按一下 [新增]

  7. 使用下列格式,輸入接收權限的使用者或群組名稱:domain\account name,然後按一下 [確定]

  8. [物件] 索引標籤的 [套用到] 中,按一下 [只有此物件]

  9. [使用權限] 中,按一下 [允許] 欄以選取下列「允許 ACE」:[清單內容][讀取全部內容][讀取權限]

  10. 按兩次 [確定]

  11. 針對步驟 2 中列出的任何相關容器,重複執行上述步驟。