Удаление разрешений пользователей, прошедших проверку подлинности в Lync Server 2013

  • Статья

 

Последнее изменение раздела: 2013-02-21

В заблокированной среде Active Directory записи управления доступом пользователей (AES), прошедшие проверку подлинности, удаляются из контейнеров Active Directory по умолчанию, включая "Пользователи", "Конфигурация" или "Система", а также подразделения, в которых хранятся объекты "Пользователь" и "Компьютер". Удаление ACL пользователей, прошедших проверку подлинности, запрещает доступ на чтение к сведениям Active Directory. Однако удаление API создает проблемы для Lync Server 2013, так как оно зависит от разрешений на чтение этих контейнеров, чтобы разрешить пользователям выполнять подготовку домена.

В этом случае членство в группе "Администраторы домена", которая необходима для выполнения подготовки домена, активации сервера и создания пула, больше не предоставляет доступ на чтение к сведениям Active Directory, хранящимся в контейнерах по умолчанию. Чтобы убедиться, что процедура подготовки леса завершена, необходимо вручную предоставить разрешения на доступ на чтение для различных контейнеров в корневом домене леса.

Чтобы разрешить пользователю выполнять подготовку домена, активацию сервера или создание пула в любом корневом домене, отличном от леса, у вас есть следующие параметры:

  • Используйте учетную запись, которая входит в группу "Администраторы предприятия", для выполнения подготовки домена.

  • Используйте учетную запись, которая является членом группы "Администраторы домена", и предоставьте этой учетной записи разрешения на доступ на чтение для каждого из следующих контейнеров в корневом домене леса:

    • Домена

    • Конфигурация или система

Если вы не хотите использовать учетную запись, которая является членом группы "Администраторы предприятия", для выполнения подготовки домена или других задач установки, явным образом предоставьте учетной записи доступ на чтение в соответствующих контейнерах в корне леса.

Предоставление пользователям разрешений на чтение и доступ к контейнерам в корневом домене леса

  1. Войдите на компьютер, присоединенный к корневому домену леса, с учетной записью, которая входит в группу "Администраторы домена" для корневого домена леса.

  2. Запустите adsiedit.msc для корневого домена леса.

    Если API пользователей, прошедшие проверку подлинности, были удалены из контейнера домена, конфигурации или системы, необходимо предоставить контейнеру разрешения только для чтения, как описано в следующих шагах.

  3. Щелкните контейнер правой кнопкой мыши и выберите пункт "Свойства".

  4. Откройте вкладку "Безопасность ".

  5. Нажмите кнопку Дополнительно.

  6. На вкладке "Разрешения " нажмите кнопку " Добавить".

  7. Введите имя пользователя или группы, получающий разрешения, в следующем формате: domain\account nameи нажмите кнопку " ОК".

  8. На вкладке " Объекты" в разделе "Область действия" щелкните "Только этот объект".

  9. В разделе "Разрешения" выберите следующую команду "Разрешить API", щелкнув столбец "Разрешить": "Содержимое списка", "Чтение всех свойств" и "Разрешения на чтение".

  10. Дважды нажмите кнопку "ОК".

  11. Повторите эти действия для любого из соответствующих контейнеров, перечисленных на шаге 2.