Berechtigungen für authentifizierte Benutzer werden in lync Server 2013 entfernt.Authenticated user permissions are removed in Lync Server 2013

 

Letztes Änderungsstand des Themas: 2013-02-21Topic Last Modified: 2013-02-21

In einer gesperrten Active Directory Umgebung werden authentifizierte Benutzerzugriffs Steuerungs Einträge (ACEs) aus den standardmäßigen Active Directory Containern entfernt, einschließlich der Benutzer, der Konfiguration oder des Systems sowie der Organisationseinheiten (Organizational Units, OUs), in denen Benutzer-und Computer Objekte gespeichert werden.In a locked-down Active Directory environment, authenticated user access control entries (ACEs) are removed from the default Active Directory containers, including the Users, Configuration or System, and organizational units (OUs) where User and Computer objects are stored. Durch das Entfernen authentifizierter Benutzer-ACEs wird der Lesezugriff auf Active Directory Informationen verhindert.Removing authenticated user ACEs prevents read access to Active Directory information. Das Entfernen der ACEs verursacht jedoch Probleme für lync Server 2013, da Sie von Leseberechtigungen für diese Container abhängt, damit Benutzer die Domänenvorbereitung ausführen können.However, removing the ACEs creates issues for Lync Server 2013 because it depends on read permissions to these containers to allow users to run domain preparation.

In diesem Fall erteilt die Mitgliedschaft in der Gruppe "Domänen-Admins", die zum Ausführen der Domänenvorbereitung, Serveraktivierung und Poolerstellung erforderlich ist, keinen Lesezugriff mehr auf Active Directory Informationen, die in den Standardcontainern gespeichert sind.In this situation, membership in the Domain Admins group, which is required to run domain preparation, server activation, and pool creation, no longer grants read access to Active Directory information stored in the default containers. Sie müssen Lesezugriff-Berechtigungen für verschiedene Container in der Gesamtstruktur-Stammdomäne manuell erteilen, um zu überprüfen, ob die Vorbereitungs Prozedur für die erforderliche Gesamtstruktur abgeschlossen ist.You must manually grant read-access permissions on various containers in the forest root domain to check that the prerequisite forest preparation procedure is complete.

Um einem Benutzer die Ausführung der Domänenvorbereitung, Serveraktivierung oder Poolerstellung in einer nicht-Gesamtstruktur-Stammdomäne zu ermöglichen, haben Sie die folgenden Optionen:To enable a user to run domain preparation, server activation, or pool creation on any non-forest root domain, you have the following options:

  • Verwenden Sie ein Konto, das Mitglied der Gruppe "Organisations-Admins" ist, um die Domänenvorbereitung auszuführen.Use an account that is a member of the Enterprise Admins group to run domain preparation.

  • Verwenden Sie ein Konto, das Mitglied der Gruppe "Domänen-Admins" ist, und erteilen Sie diesem Konto Lesezugriffsberechtigungen für jeden der folgenden Container in der Gesamtstruktur-Stammdomäne:Use an account that is a member of the Domain Admins group and grant this account read-access permissions on each of the following containers in the forest root domain:

    • DomäneDomain

    • Konfiguration oder SystemConfiguration or System

Wenn Sie ein Konto, das Mitglied der Gruppe "Organisations-Admins" ist, zum Ausführen der Domänenvorbereitung oder anderer Setup Aufgaben nicht verwenden möchten, erteilen Sie dem Konto, für das Sie den Lesezugriff verwenden möchten, explizit die entsprechenden Container im Gesamtstrukturstamm.If you do not want to use an account that is a member of the Enterprise Admins group to run domain preparation or other Setup tasks, explicitly grant the account you want to use read access on the relevant containers in the forest root.

So erteilen Sie Benutzern Lesezugriffsberechtigungen für Container in der Gesamtstruktur-StammdomäneTo give users read-access permissions on containers in the forest root domain

  1. Melden Sie sich bei dem Computer, der der Gesamtstruktur-Stammdomäne angehört, mit einem Konto an, das Mitglied der Gruppe "Domänen-Admins" für die Gesamtstruktur-Stammdomäne ist.Log on to the computer joined to the forest root domain with an account that is a member of the Domain Admins group for the forest root domain.

  2. Führen Sie adsiedit. msc für die Gesamtstruktur-Stammdomäne aus.Run adsiedit.msc for the forest root domain.

    Wenn authentifizierte Benutzer-ACEs aus der Domäne, Konfiguration oder dem System Container entfernt wurden, müssen Sie dem Container schreibgeschützte Berechtigungen erteilen, wie in den folgenden Schritten beschrieben.If authenticated user ACEs were removed from the Domain, Configuration, or System container, you must grant read-only permissions to the container, as described in the following steps.

  3. Klicken Sie mit der rechten Maustaste auf den Container, und klicken Sie dann auf Eigenschaften.Right-click the container, and then click Properties.

  4. Klicken Sie auf die Registerkarte Sicherheit.Click the Security tab.

  5. Klicken Sie auf Erweitert.Click Advanced.

  6. Klicken Sie auf der Registerkarte Berechtigungen auf Hinzufügen.On the Permissions tab, click Add.

  7. Geben Sie den Namen des Benutzers oder der Gruppe ein, der Berechtigungen erhält, indem Sie folgendes Format verwenden: domain\account name , und klicken Sie dann auf OK.Type the name of the user or group receiving permissions by using the following format: domain\account name, and then click OK.

  8. Klicken Sie auf der Registerkarte Objekte unter gilt fürauf nur dieses Objekt.On the Objects tab, in Applies To, click This Object Only.

  9. Wählen Sie unter Berechtigungendie folgenden ACEs zulassen aus, indem Sie auf die Spalte zulassen klicken: Inhalt auflisten, alle Eigenschaften lesenund Berechtigungen Lesen.In Permissions, select the following Allow ACEs by clicking the Allow column: List Content, Read All Properties, and Read Permissions.

  10. Klicken Sie zweimal auf OK.Click OK twice.

  11. Wiederholen Sie diese Schritte für alle in Schritt 2 aufgeführten relevanten Container.Repeat these steps for any of the relevant containers listed in Step 2.