Désactivation de l’héritage des autorisations sur les conteneurs des objets Ordinateur, Utilisateur ou InetOrgPerson dans Lync Server 2013

  • Article

 

Rubrique Dernière modification : 2014-12-19

Dans une services de domaine Active Directory verrouillée, les utilisateurs et les objets ordinateur sont souvent placés dans des unités organisationnelles spécifiques avec l’héritage des autorisations désactivé pour sécuriser la délégation administrative et permettre l’utilisation d’objets stratégie de groupe (GPO) pour appliquer des stratégies de sécurité.

La préparation du domaine et l’activation du serveur définissent les entrées de contrôle d’accès requises par Lync Server 2013. Lorsque l’héritage des autorisations est désactivé, les groupes de sécurité Lync Server ne peuvent pas hériter de ces ACA. Lorsque ces autorisations ne sont pas héritées, les groupes de sécurité Lync Server ne peuvent pas accéder aux paramètres, et les deux problèmes suivants se produisent :

  • Pour administrer les utilisateurs, Les InetOrgPersons et les contacts, et pour exploiter des serveurs, les groupes de sécurité Lync Server nécessitent des ACÉ définis par la procédure de préparation du domaine sur les ensembles de propriétés de chaque utilisateur, les communications en temps réel (RTC), la recherche d’utilisateurs RTC et les informations publiques. Lorsque l’héritage des autorisations est désactivé, les groupes de sécurité n’héritent pas de ces ACA et ne peuvent pas gérer les serveurs ou les utilisateurs.

  • Pour découvrir les serveurs et les pools, les serveurs exécutant Lync Server s’appuient sur des aces définis par activation sur des objets liés à l’ordinateur, y compris l’objet Microsoft Container and Server. Lorsque l’héritage des autorisations est désactivé, les groupes de sécurité, les serveurs et les pools n’héritent pas de ces ACA et ne peuvent pas tirer parti de ces ACA.

Pour résoudre ces problèmes, Lync Server fournit l’applet de commande Grant-CsOuPermission . Cette applet de commande définit les AUTHENTIFICATION Lync Server requises directement sur un conteneur et des unités d’organisation spécifiés, ainsi que les objets au sein du conteneur ou de l’unité organisationnelle.

Définir des autorisations pour les objets utilisateur, InetOrgPerson et Contact après l’exécution de la préparation du domaine

Dans un environnement Active Directory verrouillé où l’héritage des autorisations est désactivé, la préparation du domaine ne définit pas les AE nécessaires sur les conteneurs ou les unités d’organisation contenant des objets Users ou InetOrgPerson dans le domaine. Dans ce cas, vous devez exécuter l’applet de commande Grant-CsOuPermission sur chaque conteneur ou unité d’organisation disposant d’objets User ou InetOrgPerson pour lesquels l’héritage des autorisations est désactivé. Si vous disposez d’une topologie de forêt centrale, vous devez également effectuer cette procédure sur les conteneurs ou unités d’organisation qui contiennent des objets de contact. Pour plus d’informations sur les topologies de forêt centrale, consultez topologies Active Directory prises en charge dans Lync Server 2013 dans la documentation sur la prise en charge. Le paramètre ObjectType spécifie le type d’objet. Le paramètre d’unité d’organisation spécifie l’unité d’organisation.

Cette applet de commande ajoute les EAC requises directement sur les conteneurs ou unités d’organisation spécifiés et les objets User ou InetOrgPerson dans le conteneur. Si l’unité d’organisation sur laquelle cette commande est exécutée a des unités d’organisation enfants avec des objets User ou InetOrgPerson, les autorisations ne seront pas appliquées à ces derniers. Vous devez exécuter la commande sur chaque unité d’organisation enfant individuellement. Il s’agit d’un scénario courant avec les déploiements d’hébergement Lync, par exemple, l’unité d’organisation parente =locataires OCS, DC=CONTOSO,DC=LOCAL et l’unité d’organisation enfant=Locataire1, OU=Locataires OCS,DC=CONTOSO,DC=LOCAL.

Vous avez besoin de droits d’utilisateur équivalents à l’appartenance au groupe Administrateurs de domaine pour exécuter cette applet de commande. Si les autorités de certification utilisateur authentifiées ont également été supprimées dans l’environnement verrouillé, vous devez accorder à ce compte des autorités de certification d’accès en lecture sur les conteneurs ou les unités d’organisation appropriés dans le domaine racine de forêt, comme décrit dans les autorisations utilisateur authentifiées sont supprimées dans Lync Server 2013 ou utiliser un compte membre du groupe Administrateurs d’entreprise.

Pour définir les ACA requises pour les objets User, InetOrgPerson et Contact

  1. Connectez-vous à un ordinateur joint au domaine avec un compte membre du groupe Administrateurs de domaine ou disposant de droits d’utilisateur équivalents.

  2. Démarrez Lync Server Management Shell : cliquez sur Démarrer, cliquez sur Tous les programmes, sur Microsoft Lync Server 2013, puis sur Lync Server Management Shell.

  3. Exécutez :

    Grant-CsOuPermission -ObjectType <User | Computer | InetOrgPerson | Contact | AppContact | Device> 
-OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]

    Si vous ne spécifiez pas le paramètre Domaine, la valeur par défaut est le domaine local.

    Par exemple :

    Grant-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net"

  4. Dans le fichier journal, recherchez <> le résultat de l’exécution réussie à la fin de chaque tâche pour vérifier que les autorisations ont été définies, puis fermez la fenêtre du journal. Vous pouvez également exécuter la commande suivante pour déterminer si les autorisations ont été définies :

    Test-CsOuPermission -ObjectType <type of object> 
-OU <DN name for the OU container relative to the domain root container DN> 
[-Domain <Domain FQDN>] [-Report <fully qualified path and name of file to create>]

    Par exemple :

    Test-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net" -Report "C:\Log\OUPermissionsTest.html"

Définir des autorisations pour les objets ordinateur après l’exécution de la préparation du domaine

Dans un environnement Active Directory verrouillé où l’héritage des autorisations est désactivé, la préparation du domaine ne définit pas les AE nécessaires sur les conteneurs ou les unités d’organisation qui contiennent des objets Ordinateur dans le domaine. Dans ce cas, vous devez exécuter l’applet de commande Grant-CsOuPermission sur chaque conteneur ou unité d’organisation disposant d’ordinateurs exécutant Lync Server où l’héritage des autorisations est désactivé. Le paramètre ObjectType spécifie le type d’objet.

Cette procédure ajoute les ACA nécessaires directement sur les conteneurs spécifiés.

Vous avez besoin de droits d’utilisateur équivalents à l’appartenance au groupe Administrateurs de domaine pour exécuter cette applet de commande. Si les autorités de certification utilisateur authentifiées ont également été supprimées, vous devez accorder à ce compte des AAC d’accès en lecture sur les conteneurs appropriés dans le domaine racine de forêt, comme décrit dans les autorisations utilisateur authentifiées, être supprimés dans Lync Server 2013 ou utiliser un compte membre du groupe Administrateurs d’entreprise.

Pour définir les AE requis pour les objets ordinateur

  1. Connectez-vous à l’ordinateur de domaine avec un compte membre du groupe Administrateurs de domaine ou disposant de droits d’utilisateur équivalents.

  2. Démarrez Lync Server Management Shell : cliquez sur Démarrer, cliquez sur Tous les programmes, sur Microsoft Lync Server 2013, puis sur Lync Server Management Shell.

  3. Exécutez :

    Grant-CsOuPermission -ObjectType <Computer> 
-OU <DN name for the computer OU container relative to the domain root container DN> 
[-Domain <Domain FQDN>][-Report <fully qualified path and name of output report>]

    Si vous ne spécifiez pas le paramètre Domaine, la valeur par défaut est le domaine local.

    Par exemple :

    Grant-CsOuPermission -ObjectType "Computer" -OU "ou=Lync Servers,dc=litwareinc,dc=com" -Report "C:\Logs\OUPermissions.xml"

  4. Dans l’exemple de fichier journal C:\Logs\OUPermissions.xml, vous recherchez <> le résultat de l’exécution réussie à la fin de chaque tâche et vérifiez qu’il n’y a pas d’erreurs, puis fermez le journal. Vous pouvez exécuter l’applet de commande suivante pour tester les autorisations :

    Test-CsOuPermission -ObjectType <type of object> 
-OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]

    Par exemple :

    Test-CsOuPermission -ObjectType "user","contact" -OU "cn=Bellevue,dc=contoso,dc=net" -Domain "contoso.net"

    Remarque

    Si vous exécutez la préparation du domaine sur le domaine racine de forêt dans un environnement Active Directory verrouillé, sachez que Lync Server nécessite l’accès aux conteneurs de configuration et de schéma Active Directory.
    Si l’autorisation utilisateur authentifiée par défaut est supprimée du schéma ou des conteneurs de configuration dans AD DS, seuls les membres du groupe Administrateurs de schéma (pour le conteneur De schéma) ou du groupe Administrateurs d’entreprise (pour le conteneur de configuration) sont autorisés à accéder au conteneur donné. Étant donné que Setup.exe, les applets de commande Lync Server Management Shell et Lync Server Panneau de configuration nécessitent l’accès à ces conteneurs, la configuration et l’installation des outils d’administration échouent, sauf si l’utilisateur exécutant l’installation dispose de droits d’utilisateur équivalents à l’appartenance au groupe Administrateurs de schéma et Administrateurs d’entreprise.
    Pour remédier à cette situation, vous devez accorder au groupe RTCUniversalGlobalWriteGroup l’accès en lecture, écriture aux conteneurs de schéma et de configuration.