Die Vererbung von Berechtigungen ist für Computer-, Benutzer-oder inetOrgPerson-Container in lync Server 2013 deaktiviert.Permissions inheritance Is disabled on computers, users, or InetOrgPerson containers in Lync Server 2013

 

Letztes Änderungsstand des Themas: 2014-12-19Topic Last Modified: 2014-12-19

In einer gesperrten Active Directory-Domänendienste werden Benutzer und Computer Objekte häufig in bestimmten Organisationseinheiten (Organizational Units, OUs) mit deaktivierten Berechtigungen vererbt, um eine sichere administrative Delegierung zu gewährleisten und die Verwendung von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) zum Erzwingen von Sicherheitsrichtlinien zu ermöglichen.In a locked-down Active Directory Domain Services, Users and Computer objects are often placed in specific organizational units (OUs) with permissions inheritance disabled to help secure administrative delegation and to enable use of Group Policy objects (GPOs) to enforce security policies.

Domänenvorbereitung und Serveraktivierung legen Sie die für lync Server 2013 erforderlichen Zugriffssteuerungseinträge (Access Control Entries, ACEs) fest.Domain preparation and server activation set the access control entries (ACEs) required by Lync Server 2013. Wenn die Vererbung von Berechtigungen deaktiviert ist, können die lync Server Sicherheitsgruppen diese ACEs nicht erben.When permissions inheritance is disabled, the Lync Server security groups cannot inherit these ACEs. Wenn diese Berechtigungen nicht vererbt werden, können lync Server Sicherheitsgruppen nicht auf Einstellungen zugreifen, und es treten die folgenden beiden Probleme auf:When these permissions are not inherited, Lync Server security groups cannot access settings, and the following two issues arise:

  • Um Benutzer, InetOrgPersons und Kontakte zu verwalten und Server zu betreiben, erfordern die lync Server Sicherheitsgruppen ACEs, die von der Domänen Vorbereitungs Prozedur auf den Eigenschaftensätzen der einzelnen Benutzer, RTC (Real-Time Communications), RTC-Benutzersuche und öffentlichen Informationen festgelegt sind.To administer Users, InetOrgPersons, and Contacts, and to operate servers, the Lync Server security groups require ACEs set by the domain preparation procedure on each user’s property sets, real-time communications (RTC), RTC User Search, and Public Information. Wenn die Vererbung von Berechtigungen deaktiviert ist, werden diese Zugriffssteuerungseinträge von den Sicherheitsgruppen nicht geerbt, sodass diese keine Server oder Benutzer verwalten können.When permissions inheritance is disabled, security groups do not inherit these ACEs and cannot manage servers or users.

  • Zum Ermitteln von Servern und Pools beruhen Server mit lync Server auf ACEs, die durch Aktivierung für computerbezogene Objekte festgelegt wurden, einschließlich des Microsoft-Containers und des Server Objekts.To discover servers and pools, servers running Lync Server rely on ACEs set by activation on computer-related objects, including the Microsoft Container and Server object. Wenn die Vererbung von Berechtigungen deaktiviert ist, werden diese Zugriffssteuerungseinträge von Sicherheitsgruppen, Servern und Pools nicht geerbt und können nicht verwendet werden.When permissions inheritance is disabled, security groups, servers, and pools do not inherit these ACEs and cannot take advantage of these ACEs.

Um diese Probleme zu beheben, stellt lync Server das Grant-CsOuPermission- Cmdlet bereit.To address these issues, Lync Server provides the Grant-CsOuPermission cmdlet. Dieses Cmdlet legt fest, dass lync Server ACEs direkt für einen angegebenen Container und für Organisationseinheiten und die Objekte innerhalb des Containers oder der Organisationseinheit erforderlich sind.This cmdlet sets required Lync Server ACEs directly on a specified container and organizational units and the objects within the container or organizational unit.

Festlegen von Berechtigungen für Benutzer-, InetOrgPerson- und Kontaktobjekte nach dem Ausführen der DomänenvorbereitungSet Permissions for User, InetOrgPerson, and Contact Objects after Running Domain Preparation

In einer gesperrten Active Directory-Umgebung, in der die Vererbung von Berechtigungen deaktiviert ist, werden die erforderlichen Zugriffssteuerungseinträge für Container oder Organisationseinheiten, in denen die Benutzer- oder InetOrgPerson-Objekte der Domäne enthalten sind, nicht über die Domänenvorbereitung festgelegt.In a locked-down Active Directory environment where permissions inheritance is disabled, domain preparation does not set the necessary ACEs on the containers or organizational units holding Users or InetOrgPerson objects within the domain. In dieser Situation müssen Sie das Cmdlet Grant-CsOuPermission für jeden Container oder jede Organisationseinheit mit Benutzer- oder InetOrgPerson-Objekten ausführen, für die die Vererbung von Berechtigungen deaktiviert ist.In this situation, you must run the Grant-CsOuPermission cmdlet on each container or OU that has User or InetOrgPerson objects for which permissions inheritance is disabled. Wenn eine Topologie mit einer zentralen Gesamtstruktur bereitgestellt wurde, müssen Sie dieses Verfahren auch für die Container oder Organisationseinheiten mit Kontaktobjekten ausführen.If you have a central forest topology, you must also perform this procedure on the containers or OUs that hold contact objects. Ausführliche Informationen zu Topologien mit zentraler Gesamtstruktur finden Sie unter Supported Active Directory Topologies in lync Server 2013 in der Unterstützungsdokumentation.For details about central forest topologies, see Supported Active Directory topologies in Lync Server 2013 in the Supportability documentation. Der "ObjectType"-Parameter gibt den Objekttyp an.The ObjectType parameter specifies the object type. Der OU-Parameter gibt die Organisationseinheit an.The OU parameter specifies the organizational unit.

Mit diesem Cmdlet werden den angegebenen Containern oder Organisationseinheiten und den Benutzer- bzw. InetOrgPerson-Objekten innerhalb des Containers die erforderlichen Zugriffssteuerungseinträge direkt hinzugefügt.This cmdlet adds the required ACEs directly on the specified containers or OUs and the User or InetOrgPerson objects within the container. Wenn die Organisationseinheit, für die dieser Befehl ausgeführt wird, über untergeordnete OUs mit User-oder inetOrgPerson-Objekten verfügt, werden die Berechtigungen nicht auf diese angewendet.If the OU on which this command is executed has child OUs with User or InetOrgPerson objects, the permissions will not be applied on those. Sie müssen den Befehl für jede untergeordnete ou einzeln ausführen.You will need to run the command on each child OU individually. Dies ist ein gängiges Szenario bei lync-Hosting-Bereitstellungen, beispielsweise übergeordnete OU = OCS-Mandanten, DC = contoso, DC = local und Child ou = Tenant1, ou = OCS-Mandanten, DC = contoso, DC = local.This is a common scenario with Lync Hosting Deployments e.g. Parent OU=OCS Tenants, DC=CONTOSO,DC=LOCAL and child OU=Tenant1, OU=OCS Tenants ,DC=CONTOSO,DC=LOCAL.

Sie benötigen für die Ausführung dieses Cmdlets entsprechende Benutzerrechte für die Gruppenmitgliedschaft von Domänenadministratoren.You need user rights equivalent to Domain Admins group membership to run this cmdlet. Wenn die authentifizierten Benutzer-ACEs ebenfalls in der gesperrten Umgebung entfernt wurden, müssen Sie diesem Konto Lesezugriffs-ACEs für die relevanten Container oder OUs in der Gesamtstruktur-Stammdomäne erteilen, wie unter authentifizierte Benutzerberechtigungen werden in lync Server 2013 entfernt oder ein Konto verwendet, das Mitglied der Gruppe "Organisations-Admins" ist.If the authenticated user ACEs have also been removed in the locked-down environment, you must grant this account read-access ACEs on the relevant containers or OUs in the forest root domain as described in Authenticated user permissions are removed in Lync Server 2013 or use an account that is a member of the Enterprise Admins group.

So legen Sie die erforderlichen Zugriffssteuerungseinträge für Benutzer-, InetOrgPerson- und Kontaktobjekte festTo set required ACEs for User, InetOrgPerson, and Contact objects

  1. Melden Sie sich unter Verwendung eines Kontos, das Mitglied der Gruppe "Domänen-Admins" ist oder das über gleichwertige Benutzerrechte verfügt, bei einem Domänencomputer an.Log on to a computer joined to the domain with an account that is a member of the Domain Admins group or that has equivalent user rights.

  2. Starten Sie die lync Server-Verwaltungsshell: Klicken Sie auf Start, dann auf Alle Programme, klicken Sie auf Microsoft lync Server 2013, und klicken Sie dann auf lync Server-Verwaltungsshell.Start the Lync Server Management Shell: Click Start, click All Programs, click Microsoft Lync Server 2013, and then click Lync Server Management Shell.

  3. AusführenRun:

    Grant-CsOuPermission -ObjectType <User | Computer | InetOrgPerson | Contact | AppContact | Device> 
    -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]
    

    Wenn Sie den Parameter "Domain" nicht angeben, wird standardmäßig die lokale Domäne verwendet.If you do not specify the Domain parameter, the default value is the local domain.

    Beispiel:For example:

    Grant-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net"
    
  4. Suchen Sie in der Protokolldatei <Success> am Ende jeder Aufgabe nach dem Ausführungsergebnis, um sicherzustellen, dass die Berechtigungen festgelegt wurden, und schließen Sie dann das Protokollfenster.In the log file, look for <Success> Execution Result at the end of each task to verify that the permissions were set, and then close the log window. Sie können auch den folgenden Befehl ausführen, um zu bestimmen, ob die Berechtigungen festgelegt wurden:Or, you can run the following command to determine whether the permissions were set:

    Test-CsOuPermission -ObjectType <type of object> 
    -OU <DN name for the OU container relative to the domain root container DN> 
    [-Domain <Domain FQDN>] [-Report <fully qualified path and name of file to create>]
    

    Beispiel:For example:

    Test-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net" -Report "C:\Log\OUPermissionsTest.html"
    

Festlegen von Berechtigungen für Computerobjekte nach der Ausführung der DomänenvorbereitungSet Permissions for Computer Objects after Running Domain Preparation

In einer gesperrten Active Directory-Umgebung, in der die Vererbung von Berechtigungen deaktiviert ist, werden die erforderlichen Zugriffssteuerungseinträge für Container oder Organisationseinheiten, in denen die Computerobjekte der Domäne enthalten sind, nicht über die Domänenvorbereitung festgelegt.In a locked-down Active Directory environment where permissions inheritance is disabled, domain preparation does not set the necessary ACEs on the containers or OUs that hold Computer objects within the domain. In diesem Fall müssen Sie das Grant-CsOuPermission- Cmdlet für jeden Container oder jede OU ausführen, auf dem Computer ausgeführt werden, auf denen lync Server die Vererbung von Berechtigungen deaktiviert ist.In this situation, you must run the Grant-CsOuPermission cmdlet on each container or OU that has computers running Lync Server where permissions inheritance is disabled. Der ObjectType-Parameter gibt den Objekttyp an.The ObjectType parameter specifies the object type.

Bei diesem Verfahren werden die erforderlichen Zugriffssteuerungseinträge den angegebenen Containern direkt hinzugefügt.This procedure adds the required ACEs directly on the specified containers.

Sie benötigen für die Ausführung dieses Cmdlets entsprechende Benutzerrechte für die Gruppenmitgliedschaft von Domänenadministratoren.You need user rights equivalent to Domain Admins group membership to run this cmdlet. Wenn die authentifizierten Benutzer-ACEs ebenfalls entfernt wurden, müssen Sie diesem Konto Lesezugriffs-ACEs für die relevanten Container in der Gesamtstruktur-Stammdomäne erteilen, wie unter authentifizierte Benutzerberechtigungen in lync Server 2013 entfernt oder ein Konto verwendet, das Mitglied der Gruppe "Organisations-Admins" ist.If the authenticated user ACEs have also been removed, you must grant this account read-access ACEs on the relevant containers in the forest root domain as described in Authenticated user permissions are removed in Lync Server 2013 or use an account that is a member of the Enterprise Admins group.

So legen Sie die erforderlichen Zugriffssteuerungseinträge für Computerobjekte festTo set required ACEs for computer objects

  1. Melden Sie sich beim Domänencomputer mit einem Konto an, das Mitglied der Gruppe "Domänen-Admins" ist oder das über gleichwertige Benutzerrechte verfügt.Log on to the domain computer with an account that is a member of the Domain Admins group or that has equivalent user rights.

  2. Starten Sie die lync Server-Verwaltungsshell: Klicken Sie auf Start, dann auf Alle Programme, klicken Sie auf Microsoft lync Server 2013, und klicken Sie dann auf lync Server-Verwaltungsshell.Start the Lync Server Management Shell: Click Start, click All Programs, click Microsoft Lync Server 2013, and then click Lync Server Management Shell.

  3. AusführenRun:

    Grant-CsOuPermission -ObjectType <Computer> 
    -OU <DN name for the computer OU container relative to the domain root container DN> 
    [-Domain <Domain FQDN>][-Report <fully qualified path and name of output report>]
    

    Wenn Sie den Parameter "Domain" nicht angeben, wird standardmäßig die lokale Domäne verwendet.If you do not specify the Domain parameter, the default value is the local domain.

    Beispiel:For example:

    Grant-CsOuPermission -ObjectType "Computer" -OU "ou=Lync Servers,dc=litwareinc,dc=com" -Report "C:\Logs\OUPermissions.xml"
    
  4. In der Beispielprotokolldatei C: \ Logs \OUPermissions.xml würden Sie <Success> am Ende jeder Aufgabe nach dem Ausführungsergebnis suchen und sicherstellen, dass keine Fehler vorliegen, und dann das Protokoll schließen.In the example log file C:\Logs\OUPermissions.xml, you would look for <Success> Execution Result at the end of each task and verify that there are no errors, and then close the log. Sie können das folgende Cmdlet ausführen, um Berechtigungen zu testen:You can run the following cmdlet to test permissions:

    Test-CsOuPermission -ObjectType <type of object> 
    -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]
    

    Beispiel:For example:

    Test-CsOuPermission -ObjectType "user","contact" -OU "cn=Bellevue,dc=contoso,dc=net" -Domain "contoso.net"
    

    Hinweis

    Wenn Sie die Domänenvorbereitung in der Gesamtstruktur-Stammdomäne in einer gesperrten Active Directory Umgebung ausführen, müssen Sie beachten, dass lync Server Zugriff auf das Active Directory-Schema und die Konfigurationscontainer benötigt.If you run domain preparation on the forest root domain in a locked-down Active Directory environment, be aware that Lync Server requires access to the Active Directory Schema and Configuration containers.
    Wenn die standardmäßige Berechtigung "authentifizierter Benutzer" aus dem Schema oder den Konfigurationscontainern in AD DS entfernt wird   , dürfen nur Mitglieder der Gruppe "Schema-Admins" (für den Schemacontainer) oder der Gruppe "Organisations-Admins" (für den Konfigurationscontainer) auf den angegebenen Container zugreifen.If the default authenticated user permission is removed from the Schema or the Configuration containers in AD DS, only members of the Schema Admins group (for Schema container) or Enterprise Admins group (for Configuration container) are permitted to access the given container. Da Setup.exe, lync Server-Verwaltungsshell-Cmdlets und lync Server-Systemsteuerung Zugriff auf diese Container erfordern, tritt beim Setup und bei der Installation der Verwaltungstools ein Fehler auf, es sei denn, der Benutzer, der die Installation ausführt, verfügt über Benutzerrechte, die den Schema-Admins und den Gruppenmitgliedschaften der Organisations-Admins entsprechen.Because Setup.exe, Lync Server Management Shell cmdlets, and Lync Server Control Panel require access to these containers, Setup and installation of the administrative tools will fail unless the user running the installation has user rights equivalent to Schema Admins and Enterprise Admins group membership.
    Um dieses Problem zu beheben, müssen Sie der Gruppe "RTCUniversalGlobalWriteGroup" Lese- und Schreibberechtigungen für die Schema- und Konfigurationscontainer gewähren.To remedy this situation, you must grant RTCUniversalGlobalWriteGroup group Read, Write access to the Schema and Configuration containers.