Los permisos de usuarios autenticados se quitan en Lync Server 2013Authenticated user permissions are removed in Lync Server 2013

 

Última modificación del tema: 2013-02-21Topic Last Modified: 2013-02-21

En un entorno de Active Directory bloqueado, las entradas de control de acceso (ACE) de los usuarios autenticados se quitan de los contenedores de Active Directory predeterminados, incluidos el de usuarios, el de configuración y el de sistema, y de las unidades organizativas (OU) donde se almacenan los objetos de usuario y de equipo.In a locked-down Active Directory environment, authenticated user access control entries (ACEs) are removed from the default Active Directory containers, including the Users, Configuration or System, and organizational units (OUs) where User and Computer objects are stored. Al eliminar las ACE de los usuarios autenticados se evita el acceso de lectura a la información de Active Directory.Removing authenticated user ACEs prevents read access to Active Directory information. Sin embargo, la eliminación de las ACE crea problemas en Lync Server 2013 porque depende de los permisos de lectura de estos contenedores para permitir que los usuarios ejecuten la preparación del dominio.However, removing the ACEs creates issues for Lync Server 2013 because it depends on read permissions to these containers to allow users to run domain preparation.

En esta situación, la pertenencia al grupo Admins. del dominio, necesaria para ejecutar la preparación del dominio, la activación de los servidores y la creación de grupos de servidores, ya no concede acceso de lectura a la información de Active Directory almacenada en los contenedores predeterminados. Debe conceder manualmente permisos de acceso de lectura en diversos contenedores del dominio raíz del bosque para comprobar si se ha realizado correctamente el requisito previo de preparación del bosque.In this situation, membership in the Domain Admins group, which is required to run domain preparation, server activation, and pool creation, no longer grants read access to Active Directory information stored in the default containers. You must manually grant read-access permissions on various containers in the forest root domain to check that the prerequisite forest preparation procedure is complete.

Para permitir que los usuarios ejecuten la preparación del dominio, la activación de los servidores o la creación de grupos de servidores en cualquier dominio que no pertenezca a la raíz del bosque, dispone de las siguientes opciones:To enable a user to run domain preparation, server activation, or pool creation on any non-forest root domain, you have the following options:

  • Use una cuenta que sea miembro del grupo administradores de organización para ejecutar la preparación del dominio.Use an account that is a member of the Enterprise Admins group to run domain preparation.

  • Usar una cuenta que sea miembro del grupo Admins. del dominio y conceder permisos de acceso de lectura a esta cuenta en cada uno de los contenedores siguientes del dominio raíz del bosque:Use an account that is a member of the Domain Admins group and grant this account read-access permissions on each of the following containers in the forest root domain:

    • DominioDomain

    • Configuración o sistemaConfiguration or System

Si no desea usar una cuenta que sea miembro del grupo Administradores de organización para ejecutar la preparación del dominio o realizar otras tareas de configuración, conceda explícitamente a la cuenta que desea utilizar acceso de lectura en los contenedores pertinentes de la raíz del bosque.If you do not want to use an account that is a member of the Enterprise Admins group to run domain preparation or other Setup tasks, explicitly grant the account you want to use read access on the relevant containers in the forest root.

Para conceder a los usuarios permisos de acceso de lectura en los contenedores del dominio raíz del bosqueTo give users read-access permissions on containers in the forest root domain

  1. Inicie sesión en el equipo que pertenece al dominio raíz del bosque con una cuenta que sea miembro del grupo Admins. del dominio raíz del bosque.Log on to the computer joined to the forest root domain with an account that is a member of the Domain Admins group for the forest root domain.

  2. Ejecute adsiedit.msc para el dominio raíz del bosque.Run adsiedit.msc for the forest root domain.

    Si se han quitado las ACE de los usuarios autenticados de los contenedores de dominio, configuración o sistema, debe conceder permisos de solo lectura al contenedor, tal y como se describe en los siguientes pasos.If authenticated user ACEs were removed from the Domain, Configuration, or System container, you must grant read-only permissions to the container, as described in the following steps.

  3. Haga clic con el botón secundario en el contenedor y, a continuación, haga clic en Propiedades.Right-click the container, and then click Properties.

  4. Haga clic en la pestaña Seguridad.Click the Security tab.

  5. Haga clic en Avanzadas.Click Advanced.

  6. En la pestaña Permisos, haga clic en Agregar.On the Permissions tab, click Add.

  7. Escriba el nombre del usuario o grupo que recibe permisos con el siguiente formato: domain\account name y, a continuación, haga clic en Aceptar.Type the name of the user or group receiving permissions by using the following format: domain\account name, and then click OK.

  8. En la pestaña Objetos, en Se aplica a, haga clic en Solo este objeto.On the Objects tab, in Applies To, click This Object Only.

  9. En Permisos, seleccione las siguientes ACE de permiso haciendo clic en la columna Permitir: Mostrar contenido, Leer todas las propiedades y Permisos de lectura.In Permissions, select the following Allow ACEs by clicking the Allow column: List Content, Read All Properties, and Read Permissions.

  10. Haga clic dos veces en Aceptar.Click OK twice.

  11. Repita estos pasos para cualquiera de los contenedores relevantes enumerados en el paso 2.Repeat these steps for any of the relevant containers listed in Step 2.