Les autorisations des utilisateurs authentifiés sont supprimées dans Lync Server 2013Authenticated user permissions are removed in Lync Server 2013

 

Dernière modification de la rubrique : 2013-02-21Topic Last Modified: 2013-02-21

Dans un environnement Active Directory verrouillé, les entrées de contrôle d’accès (ACE) des utilisateurs authentifiés sont supprimées des conteneurs Active Directory par défaut, notamment Utilisateurs, Configuration ou Système, et des unités d’organisation (OU) où sont stockés les objets Utilisateur et Ordinateur.In a locked-down Active Directory environment, authenticated user access control entries (ACEs) are removed from the default Active Directory containers, including the Users, Configuration or System, and organizational units (OUs) where User and Computer objects are stored. La suppression des entrées de contrôle d’accès des utilisateurs authentifiés empêche l’accès en lecture aux informations Active Directory.Removing authenticated user ACEs prevents read access to Active Directory information. Toutefois, la suppression des ACE crée des problèmes pour Lync Server 2013, car cela dépend des autorisations en lecture sur ces conteneurs pour permettre aux utilisateurs d’exécuter la préparation du domaine.However, removing the ACEs creates issues for Lync Server 2013 because it depends on read permissions to these containers to allow users to run domain preparation.

Dans cette situation, l’appartenance au groupe Administrateurs du domaine, requise pour exécuter la préparation d’un domaine, l’activation du serveur et la création de pools, n’octroie plus l’accès en lecture aux informations Active Directory stockées dans les conteneurs par défaut. Vous devez octroyer manuellement les autorisations d’accès en lecture sur divers conteneurs du domaine racine de la forêt pour vérifier que la procédure préalable de préparation d’une forêt a abouti.In this situation, membership in the Domain Admins group, which is required to run domain preparation, server activation, and pool creation, no longer grants read access to Active Directory information stored in the default containers. You must manually grant read-access permissions on various containers in the forest root domain to check that the prerequisite forest preparation procedure is complete.

Pour permettre à un utilisateur d’exécuter la préparation d’un domaine, l’activation d’un serveur ou la création d’un pool dans un domaine autre que le domaine racine de la forêt, vous disposez des options suivantes :To enable a user to run domain preparation, server activation, or pool creation on any non-forest root domain, you have the following options:

  • Utilisez un compte membre du groupe administrateurs de l’entreprise pour exécuter la préparation du domaine.Use an account that is a member of the Enterprise Admins group to run domain preparation.

  • Utilisez un compte qui est un membre du groupe Administrateurs du domaine et octroyez-lui des autorisations d’accès en lecture sur chacun des conteneurs suivants du domaine racine de la forêt :Use an account that is a member of the Domain Admins group and grant this account read-access permissions on each of the following containers in the forest root domain:

    • DomaineDomain

    • Configuration ou SystèmeConfiguration or System

Si vous ne voulez pas utiliser un compte qui est un membre du groupe Administrateurs d’entreprise pour exécuter la préparation d’un domaine ou d’autres tâches de configuration, octroyez explicitement l’accès en lecture au compte que vous voulez utiliser sur les conteneurs concernés de la racine de la forêt.If you do not want to use an account that is a member of the Enterprise Admins group to run domain preparation or other Setup tasks, explicitly grant the account you want to use read access on the relevant containers in the forest root.

Pour attribuer des autorisations d’accès en lecture sur les conteneurs dans le domaine racine de la forêtTo give users read-access permissions on containers in the forest root domain

  1. Ouvrez une session sur l’ordinateur lié au domaine racine de la forêt en utilisant un compte qui est un membre du groupe Administrateurs du domaine pour le domaine racine de la forêt.Log on to the computer joined to the forest root domain with an account that is a member of the Domain Admins group for the forest root domain.

  2. Exécutez adsiedit.msc pour le domaine racine de la forêt.Run adsiedit.msc for the forest root domain.

    Si les entrées de contrôle d’accès des utilisateurs authentifiés ont été supprimées du conteneur Domaine, Configuration ou Système, vous devez octroyer des autorisations en lecture seule au conteneur, en procédant comme indiqué ci-après.If authenticated user ACEs were removed from the Domain, Configuration, or System container, you must grant read-only permissions to the container, as described in the following steps.

  3. Cliquez avec le bouton droit sur le conteneur, puis cliquez sur Propriétés.Right-click the container, and then click Properties.

  4. Cliquez sur l’onglet Sécurité.Click the Security tab.

  5. Cliquez surAvancé.Click Advanced.

  6. Sous l'ongletAutorisations, cliquez surAjouter.On the Permissions tab, click Add.

  7. Tapez le nom de l’utilisateur ou du groupe qui reçoit les autorisations en utilisant le format suivant : domain\account name , puis cliquez sur OK.Type the name of the user or group receiving permissions by using the following format: domain\account name, and then click OK.

  8. Sous l’onglet Objets, dans S’applique à, cliquez sur Cet objet uniquement.On the Objects tab, in Applies To, click This Object Only.

  9. Dans Autorisations, sélectionnez les entrées de contrôle d’accès suivantes en cliquant sur la colonne Autoriser : Lister le contenu, Lire toutes les propriétés et Autorisations de lecture.In Permissions, select the following Allow ACEs by clicking the Allow column: List Content, Read All Properties, and Read Permissions.

  10. Cliquez deux fois sur OK.Click OK twice.

  11. Répétez ces étapes pour tous les conteneurs concernés répertoriés à l’étape 2.Repeat these steps for any of the relevant containers listed in Step 2.