Herança de permissões está desabilitado em computadores, usuários ou contêiners InetOrgPerson no Lync Server 2013
Tópico Última Modificação: 12-12-2014
Em um Active Directory Domain Services bloqueado, os objetos Users e Computer geralmente são colocados em UOs (unidades organizacionais) específicas com a herança de permissões desabilitada para ajudar a proteger a delegação administrativa e habilitar o uso de GPOs (objetos Política de Grupo) para impor políticas de segurança.
A preparação do domínio e a ativação do servidor definem as ACEs (entradas de controle de acesso) exigidas pelo Lync Server 2013. Quando a herança de permissões é desabilitada, os grupos de segurança do Lync Server não podem herdar essas ACEs. Quando essas permissões não são herdadas, os grupos de segurança do Lync Server não podem acessar as configurações e os dois problemas a seguir surgem:
Para administrar Usuários, InetOrgPersons e Contatos e operar servidores, os grupos de segurança do Lync Server exigem ACEs definidas pelo procedimento de preparação de domínio nos conjuntos de propriedades de cada usuário, RTC (comunicações em tempo real), Pesquisa de Usuário RTC e Informações Públicas. Quando a herança de permissões é desabilitada, os grupos de segurança não herdam essas ACEs e não podem gerenciar servidores ou usuários.
Para descobrir servidores e pools, os servidores que executam o Lync Server dependem de ACEs definidas pela ativação em objetos relacionados ao computador, incluindo o objeto Contêiner e Servidor da Microsoft. Quando a herança de permissões é desabilitada, grupos de segurança, servidores e pools não herdam essas ACEs e não podem aproveitar essas ACEs.
Para resolver esses problemas, o Lync Server fornece o cmdlet Grant-CsOuPermission . Esse cmdlet define as ACEs do Lync Server necessárias diretamente em um contêiner e unidades organizacionais especificados e os objetos dentro do contêiner ou da unidade organizacional.
Definir permissões para usuário, InetOrgPerson e objetos de contato após a execução da preparação do domínio
Em um ambiente bloqueado do Active Directory em que a herança de permissões está desabilitada, a preparação do domínio não define as ACEs necessárias nos contêineres ou unidades organizacionais que contêm objetos Users ou InetOrgPerson dentro do domínio. Nessa situação, você deve executar o cmdlet Grant-CsOuPermission em cada contêiner ou UO que tenha objetos User ou InetOrgPerson para os quais a herança de permissões está desabilitada. Se você tiver uma topologia de floresta central, também deverá executar esse procedimento nos contêineres ou UOs que contêm objetos de contato. Para obter detalhes sobre topologias de floresta central, consulte topologias do Active Directory com suporte no Lync Server 2013 na documentação de capacidade de suporte. O parâmetro ObjectType especifica o tipo de objeto. O parâmetro UO especifica a unidade organizacional.
Esse cmdlet adiciona as ACEs necessárias diretamente nos contêineres ou UOs especificados e nos objetos User ou InetOrgPerson dentro do contêiner. Se a UO na qual esse comando é executado tiver UOs filho com objetos User ou InetOrgPerson, as permissões não serão aplicadas a elas. Você precisará executar o comando em cada UO filho individualmente. Esse é um cenário comum com implantações de hospedagem do Lync, por exemplo, locatários pai OU=OCS, DC=CONTOSO, DC=LOCAL e filho OU=Tenant1, OU=OCS Tenants ,DC=CONTOSO,DC=LOCAL.
Você precisa de direitos de usuário equivalentes à associação de grupo de Administradores de Domínio para executar esse cmdlet. Se as ACEs de usuário autenticadas também tiverem sido removidas no ambiente bloqueado, você deverá conceder a essa conta ACEs de acesso de leitura nos contêineres ou UOs relevantes no domínio raiz da floresta, conforme descrito em Permissões de usuário autenticadas, que são removidas no Lync Server 2013 ou usar uma conta que seja membro do grupo Administradores Corporativos.
Para definir ACEs necessárias para objetos User, InetOrgPerson e Contact
Faça logon em um computador ingressado no domínio com uma conta que seja membro do grupo Administradores de Domínio ou que tenha direitos de usuário equivalentes.
Inicie o Shell de Gerenciamento do Lync Server: clique em Iniciar, clique em Todos os Programas, clique em Microsoft Lync Server 2013 e, em seguida, clique no Shell de Gerenciamento do Lync Server.
Execute:
Grant-CsOuPermission -ObjectType <User | Computer | InetOrgPerson | Contact | AppContact | Device> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]Se você não especificar o parâmetro Domain, o valor padrão será o domínio local.
Por exemplo:
Grant-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net"No arquivo de log, procure o<> Resultado da Execução de Êxito no final de cada tarefa para verificar se as permissões foram definidas e feche a janela de log. Ou você pode executar o seguinte comando para determinar se as permissões foram definidas:
Test-CsOuPermission -ObjectType <type of object> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>] [-Report <fully qualified path and name of file to create>]Por exemplo:
Test-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net" -Report "C:\Log\OUPermissionsTest.html"
Definir permissões para objetos de computador após a execução da preparação do domínio
Em um ambiente bloqueado do Active Directory em que a herança de permissões está desabilitada, a preparação do domínio não define as ACEs necessárias nos contêineres ou UOs que contêm objetos computer no domínio. Nessa situação, você deve executar o cmdlet Grant-CsOuPermission em cada contêiner ou UO que tenha computadores executando o Lync Server em que a herança de permissões está desabilitada. O parâmetro ObjectType especifica o tipo de objeto.
Esse procedimento adiciona as ACEs necessárias diretamente nos contêineres especificados.
Você precisa de direitos de usuário equivalentes à associação de grupo de Administradores de Domínio para executar esse cmdlet. Se as ACEs de usuário autenticadas também tiverem sido removidas, você deverá conceder a essa conta ACEs de acesso de leitura nos contêineres relevantes no domínio raiz da floresta, conforme descrito em Permissões de usuário autenticado, que são removidas no Lync Server 2013 ou usar uma conta que seja membro do grupo Administradores Corporativos.
Para definir ACEs necessárias para objetos de computador
Faça logon no computador de domínio com uma conta que seja membro do grupo Administradores de Domínio ou que tenha direitos de usuário equivalentes.
Inicie o Shell de Gerenciamento do Lync Server: clique em Iniciar, clique em Todos os Programas, clique em Microsoft Lync Server 2013 e, em seguida, clique no Shell de Gerenciamento do Lync Server.
Execute:
Grant-CsOuPermission -ObjectType <Computer> -OU <DN name for the computer OU container relative to the domain root container DN> [-Domain <Domain FQDN>][-Report <fully qualified path and name of output report>]Se você não especificar o parâmetro Domain, o valor padrão será o domínio local.
Por exemplo:
Grant-CsOuPermission -ObjectType "Computer" -OU "ou=Lync Servers,dc=litwareinc,dc=com" -Report "C:\Logs\OUPermissions.xml"No exemplo de arquivo de log C:\Logs\OUPermissions.xml, <> você procuraria resultado de execução bem-sucedida no final de cada tarefa e verificaria se não há erros e, em seguida, fecharia o log. Você pode executar o seguinte cmdlet para testar permissões:
Test-CsOuPermission -ObjectType <type of object> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]Por exemplo:
Test-CsOuPermission -ObjectType "user","contact" -OU "cn=Bellevue,dc=contoso,dc=net" -Domain "contoso.net"Nota
Se você executar a preparação do domínio no domínio raiz da floresta em um ambiente bloqueado do Active Directory, lembre-se de que o Lync Server requer acesso aos contêineres de Configuração e Esquema do Active Directory.
Se a permissão de usuário autenticada padrão for removida do Esquema ou dos contêineres de Configuração no AD DS, somente os membros do grupo Administradores de Esquema (para contêiner de esquema) ou do grupo Administradores Corporativos (para contêiner de configuração) têm permissão para acessar o contêiner fornecido. Como Setup.exe, os cmdlets do Shell de Gerenciamento do Lync Server e o Lync Server Painel de Controle exigem acesso a esses contêineres, a instalação e a instalação das ferramentas administrativas falharão, a menos que o usuário que executa a instalação tenha direitos de usuário equivalentes à associação de grupo administradores de esquema e administradores corporativos.
Para corrigir essa situação, você deve conceder acesso de leitura e gravação ao grupo RTCUniversalGlobalWriteGroup aos contêineres esquema e configuração.