Lync Server 2013 のコンピューター、ユーザー、または InetOrgPerson のコンテナーでアクセス許可の継承が無効になっている
トピック最終更新日時: 2014-12-19
ロックダウンされたActive Directory Domain Servicesでは、管理委任をセキュリティで保護したり、グループ ポリシー オブジェクト (GPO) を使用してセキュリティ ポリシーを適用したりするために、アクセス許可の継承が無効になっている特定の組織単位 (OU) にユーザーオブジェクトとコンピューター オブジェクトが配置されることがよくあります。
ドメインの準備とサーバーのアクティブ化により、Lync Server 2013 で必要なアクセス制御エントリ (ACE) が設定されます。 アクセス許可の継承が無効になっている場合、Lync Server セキュリティ グループはこれらの ACE を継承できません。 これらのアクセス許可が継承されていない場合、Lync Server セキュリティ グループは設定にアクセスできず、次の 2 つの問題が発生します。
ユーザー、InetOrgPersons、および連絡先を管理し、サーバーを運用するために、Lync Server セキュリティ グループでは、各ユーザーのプロパティ セット、リアルタイム通信 (RTC)、RTC ユーザー検索、およびパブリック情報のドメイン準備手順によって設定された ACE が必要です。 アクセス許可の継承が無効になっている場合、セキュリティ グループはこれらの ACE を継承せず、サーバーまたはユーザーを管理できません。
サーバーとプールを検出するために、Lync Server を実行しているサーバーは、Microsoft Container オブジェクトや Server オブジェクトを含むコンピューター関連オブジェクトのアクティブ化によって設定された ACE に依存します。 アクセス許可の継承が無効になっている場合、セキュリティ グループ、サーバー、プールはこれらの ACE を継承せず、これらの ACE を利用できません。
これらの問題に対処するために、Lync Server には Grant-CsOuPermission コマンドレットが用意されています 。 このコマンドレットは、指定したコンテナーと組織単位、およびコンテナーまたは組織単位内のオブジェクトに必要な Lync Server ACE を直接設定します。
ドメイン準備の実行後にユーザー、InetOrgPerson、連絡先オブジェクトのアクセス許可を設定する
アクセス許可の継承が無効になっているロックダウンされた Active Directory 環境では、ドメインの準備では、ドメイン内のユーザーまたは InetOrgPerson オブジェクトを保持するコンテナーまたは組織単位に必要な ACE は設定されません。 このような場合は、アクセス許可の継承が無効になっているユーザーまたは InetOrgPerson オブジェクトを持つ各コンテナーまたは OU で Grant-CsOuPermission コマンドレットを実行する必要があります。 中央フォレスト トポロジがある場合は、連絡先オブジェクトを保持するコンテナーまたは OU でもこの手順を実行する必要があります。 中央フォレスト トポロジの詳細については、サポートのドキュメント の「Lync Server 2013 でサポートされている Active Directory トポロジ 」を参照してください。 ObjectType パラメーターは、オブジェクトの種類を指定します。 OU パラメーターは、組織単位を指定します。
このコマンドレットは、指定したコンテナーまたは OU、およびコンテナー内の User または InetOrgPerson オブジェクトに、必要な ACE を直接追加します。 このコマンドが実行される OU に、User オブジェクトまたは InetOrgPerson オブジェクトを含む子 OU がある場合、それらのオブジェクトに対するアクセス許可は適用されません。 各子 OU で個別にコマンドを実行する必要があります。 これは、Lync ホスティング展開の一般的なシナリオです。たとえば、親 OU=OCS テナント、DC=CONTOSO、DC=LOCAL および子 OU=Tenant1、OU=OCS テナント、DC=CONTOSO、DC=LOCAL などです。
このコマンドレットを実行するには、Domain Admins グループ メンバーシップと同等のユーザー権限が必要です。 認証されたユーザー ACE もロックダウン環境で削除されている場合は、「認証された ユーザーのアクセス許可が Lync Server 2013 で削除 されるか、エンタープライズ管理者グループのメンバーであるアカウントを使用する」で説明されているように、フォレスト ルート ドメイン内の関連するコンテナーまたは OU でこのアカウントに読み取りアクセス ACE を付与する必要があります。
User、InetOrgPerson、Contact オブジェクトに必要な ACE を設定するには
Domain Admins グループのメンバーであるか、同等のユーザー権限を持つアカウントを使用して、ドメインに参加しているコンピューターにログオンします。
Lync Server 管理シェルを起動する: [スタート] をクリックし、[ すべてのプログラム] をクリックし、[ Microsoft Lync Server 2013] をクリックして、[ Lync Server 管理シェル] をクリックします。
次のコマンドレットを実行します。
Grant-CsOuPermission -ObjectType <User | Computer | InetOrgPerson | Contact | AppContact | Device> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]Domain パラメーターを指定しない場合、既定値はローカル ドメインです。
次に例を示します。
Grant-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net"ログ ファイルで、各タスクの最後にある成功>実行結果を探<して、アクセス許可が設定されていることを確認し、ログ ウィンドウを閉じます。 または、次のコマンドを実行して、アクセス許可が設定されているかどうかを判断できます。
Test-CsOuPermission -ObjectType <type of object> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>] [-Report <fully qualified path and name of file to create>]次に例を示します。
Test-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net" -Report "C:\Log\OUPermissionsTest.html"
ドメイン準備の実行後にコンピューター オブジェクトのアクセス許可を設定する
アクセス許可の継承が無効になっているロックダウンされた Active Directory 環境では、ドメインの準備では、ドメイン内のコンピューター オブジェクトを保持するコンテナーまたは OU に必要な ACE は設定されません。 このような場合は、アクセス許可の継承が無効になっている Lync Server を実行しているコンピューターがある各コンテナーまたは OU で Grant-CsOuPermission コマンドレットを実行する必要があります。 ObjectType パラメーターは、オブジェクトの種類を指定します。
この手順では、指定したコンテナーに必要な ACE を直接追加します。
このコマンドレットを実行するには、Domain Admins グループ メンバーシップと同等のユーザー権限が必要です。 認証されたユーザー ACE も削除されている場合は、「認証された ユーザーのアクセス許可が Lync Server 2013 で削除 されるか、Enterprise Admins グループのメンバーであるアカウントを使用する」の説明に従って、フォレスト ルート ドメイン内の関連コンテナーでこのアカウントに読み取りアクセス ACE を付与する必要があります。
コンピューター オブジェクトに必要な ACE を設定するには
Domain Admins グループのメンバーであるか、同等のユーザー権限を持つアカウントを使用して、ドメイン コンピューターにログオンします。
Lync Server 管理シェルを起動する: [スタート] をクリックし、[ すべてのプログラム] をクリックし、[ Microsoft Lync Server 2013] をクリックして、[ Lync Server 管理シェル] をクリックします。
次のコマンドレットを実行します。
Grant-CsOuPermission -ObjectType <Computer> -OU <DN name for the computer OU container relative to the domain root container DN> [-Domain <Domain FQDN>][-Report <fully qualified path and name of output report>]Domain パラメーターを指定しない場合、既定値はローカル ドメインです。
次に例を示します。
Grant-CsOuPermission -ObjectType "Computer" -OU "ou=Lync Servers,dc=litwareinc,dc=com" -Report "C:\Logs\OUPermissions.xml"ログ ファイルのC:\Logs\OUPermissions.xml例では、各タスクの最後で成功>実行結果を探<し、エラーがないことを確認してからログを閉じます。 次のコマンドレットを実行して、アクセス許可をテストできます。
Test-CsOuPermission -ObjectType <type of object> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]次に例を示します。
Test-CsOuPermission -ObjectType "user","contact" -OU "cn=Bellevue,dc=contoso,dc=net" -Domain "contoso.net"注意
ロックダウンされた Active Directory 環境でフォレスト ルート ドメインでドメイン準備を実行する場合は、Lync Server で Active Directory スキーマと構成コンテナーへのアクセスが必要であることに注意してください。
既定の認証されたユーザーアクセス許可が AD DS のスキーマまたは構成コンテナーから削除された場合、スキーマ管理者グループ (スキーマ コンテナーの場合) または Enterprise Admins グループ (構成コンテナーの場合) のメンバーのみが、指定されたコンテナーへのアクセスを許可されます。 Setup.exe、Lync Server Management Shell コマンドレット、および Lync Server コントロール パネルではこれらのコンテナーへのアクセスが必要であるため、インストールを実行しているユーザーにスキーマ管理者およびエンタープライズ管理者グループ メンバーシップと同等のユーザー権限がない限り、管理ツールのセットアップとインストールは失敗します。
この状況を解決するには、RTCUniversalGlobalWriteGroup グループに、スキーマコンテナーと構成コンテナーへの読み取り、書き込みアクセス権を付与する必要があります。