Наследование разрешений отключено на компьютерах, пользователях и контейнерах InetOrgPerson в Lync Server 2013Permissions inheritance Is disabled on computers, users, or InetOrgPerson containers in Lync Server 2013

 

Последнее изменение темы: 2014-12-19Topic Last Modified: 2014-12-19

В заблокированных доменных службах Active Directory пользователи и объекты компьютеров часто размещаются в определенных подразделениях (OU) с отключенным наследованием разрешений для обеспечения безопасности административного делегирования и включения использования объектов групповой политики (GPO) для применения политик безопасности.In a locked-down Active Directory Domain Services, Users and Computer objects are often placed in specific organizational units (OUs) with permissions inheritance disabled to help secure administrative delegation and to enable use of Group Policy objects (GPOs) to enforce security policies.

Подготовка домена и активация сервера задавайте записи управления доступом (ACE), необходимые для Lync Server 2013.Domain preparation and server activation set the access control entries (ACEs) required by Lync Server 2013. Если наследование разрешений отключено, группы безопасности Lync Server не могут наследовать эти элементы управления доступом.When permissions inheritance is disabled, the Lync Server security groups cannot inherit these ACEs. Если эти разрешения не наследуются, группам безопасности Lync Server не удается получить доступ к параметрам, и возникают следующие две проблемы:When these permissions are not inherited, Lync Server security groups cannot access settings, and the following two issues arise:

  • Для администрирования пользователей, Инеторгперсонс и контактов, а также для работы с серверами для групп безопасности Lync Server требуются записи ACE, заданные в процедуре подготовки домена для наборов свойств каждого пользователя, взаимодействия в режиме реального времени, службы поиска пользователей RTC и общедоступной информации.To administer Users, InetOrgPersons, and Contacts, and to operate servers, the Lync Server security groups require ACEs set by the domain preparation procedure on each user’s property sets, real-time communications (RTC), RTC User Search, and Public Information. Когда наследование разрешений отключено, группы безопасности не наследуют эти элементы ACE и не могут управлять серверами и пользователями.When permissions inheritance is disabled, security groups do not inherit these ACEs and cannot manage servers or users.

  • Для обнаружения серверов и пулов серверы, на которых работает Lync Server, используют записи управления доступом (ACE), установленные при активации объектов, связанных с компьютером, в том числе Microsoft Container и объект сервера.To discover servers and pools, servers running Lync Server rely on ACEs set by activation on computer-related objects, including the Microsoft Container and Server object. Когда наследование разрешений отключено, группы безопасности, серверы и пулы не наследуют эти элементы ACE и не могут их использовать.When permissions inheritance is disabled, security groups, servers, and pools do not inherit these ACEs and cannot take advantage of these ACEs.

Чтобы устранить эти проблемы, Lync Server предоставляет командлет Grant – CsOuPermission .To address these issues, Lync Server provides the Grant-CsOuPermission cmdlet. Этот командлет задает необходимые элементы управления Lync Server непосредственно для указанного контейнера и подразделений и объектов в контейнере или подразделении.This cmdlet sets required Lync Server ACEs directly on a specified container and organizational units and the objects within the container or organizational unit.

Установка разрешений для объектов User, InetOrgPerson и Contact после проведения подготовки доменаSet Permissions for User, InetOrgPerson, and Contact Objects after Running Domain Preparation

В заблокированной среде Active Directory, в которой отключено наследование разрешений, при подготовке домена не устанавливаются необходимые элементы ACE для контейнеров или подразделений, в которых хранятся объекты пользователей или InetOrgPerson в домене.In a locked-down Active Directory environment where permissions inheritance is disabled, domain preparation does not set the necessary ACEs on the containers or organizational units holding Users or InetOrgPerson objects within the domain. В этом случае необходимо выполнить командлет Grant-CsOuPermission для каждого контейнера или подразделения, у которого есть объекты user или inetOrgPerson, для которых отключено наследование разрешений.In this situation, you must run the Grant-CsOuPermission cmdlet on each container or OU that has User or InetOrgPerson objects for which permissions inheritance is disabled. Если у вас есть топология центрального леса, необходимо также выполнить эту процедуру в контейнерах или подразделениях, содержащих объекты Contact.If you have a central forest topology, you must also perform this procedure on the containers or OUs that hold contact objects. Подробные сведения о топологиях с центральным лесом приведены в статье поддерживаемые топологии Active Directory в Lync Server 2013 в документации по поддержке.For details about central forest topologies, see Supported Active Directory topologies in Lync Server 2013 in the Supportability documentation. Параметр ObjectType задает тип объекта.The ObjectType parameter specifies the object type. Параметр OU указывает подразделение.The OU parameter specifies the organizational unit.

Этот командлет добавляет необходимые элементы ACE непосредственно для заданных контейнеров или организационных подразделений и объектов User или InetOrgPerson внутри контейнера.This cmdlet adds the required ACEs directly on the specified containers or OUs and the User or InetOrgPerson objects within the container. Если подразделение, в котором выполняется эта команда, имеет дочерние подразделения с объектами User или InetOrgPerson, эти разрешения не будут применяться к ним.If the OU on which this command is executed has child OUs with User or InetOrgPerson objects, the permissions will not be applied on those. Вам потребуется выполнить команду для каждого дочернего подразделения по отдельности.You will need to run the command on each child OU individually. Это распространенный сценарий, в котором используются развертывания Lync Hosting, например Parent OU = Клиенты OCS, DC = CONTOSO, DC = LOCAL и Child OU = Tenant1, OU = клиентские Клиенты OCS, DC = CONTOSO, DC = LOCAL.This is a common scenario with Lync Hosting Deployments e.g. Parent OU=OCS Tenants, DC=CONTOSO,DC=LOCAL and child OU=Tenant1, OU=OCS Tenants ,DC=CONTOSO,DC=LOCAL.

Для запуска этого командлета необходимы права пользователя, эквивалентные членству в группе администраторов домена.You need user rights equivalent to Domain Admins group membership to run this cmdlet. Если ACE, прошедшие проверку подлинности, также были удалены в заблокированной среде, необходимо предоставить этой учетной записи ACE для доступа на чтение в соответствующих контейнерах или подразделениях в корневом домене леса, как описано в разделе разрешения пользователей с проверкой подлинности удалено в Lync Server 2013 или использовать учетную запись, входящую в группу администраторов предприятия.If the authenticated user ACEs have also been removed in the locked-down environment, you must grant this account read-access ACEs on the relevant containers or OUs in the forest root domain as described in Authenticated user permissions are removed in Lync Server 2013 or use an account that is a member of the Enterprise Admins group.

Установка необходимых элементов ACE для объектов User, InetOrgPerson и ContactTo set required ACEs for User, InetOrgPerson, and Contact objects

  1. Выполните вход на компьютер, присоединенный к домену, с использованием учетной записи, которая является членом группы администраторов домена или имеет эквивалентные права пользователя.Log on to a computer joined to the domain with an account that is a member of the Domain Admins group or that has equivalent user rights.

  2. Запустите командную консоль Lync Server: нажмите кнопку Пуск, последовательно выберите пункты Все программы и Microsoft Lync Server 2013 и щелкните элемент Командная консоль Lync Server.Start the Lync Server Management Shell: Click Start, click All Programs, click Microsoft Lync Server 2013, and then click Lync Server Management Shell.

  3. ВыполняемRun:

    Grant-CsOuPermission -ObjectType <User | Computer | InetOrgPerson | Contact | AppContact | Device> 
    -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]
    

    Если параметр Domain не указан, значением по умолчанию является локальный домен.If you do not specify the Domain parameter, the default value is the local domain.

    Пример:For example:

    Grant-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net"
    
  4. В файле журнала найдите <Success> результаты выполнения в конце каждой задачи, чтобы убедиться, что были заданы разрешения, а затем закройте окно Журнал.In the log file, look for <Success> Execution Result at the end of each task to verify that the permissions were set, and then close the log window. Либо выполните следующую команду, чтобы убедиться, что разрешения были установлены:Or, you can run the following command to determine whether the permissions were set:

    Test-CsOuPermission -ObjectType <type of object> 
    -OU <DN name for the OU container relative to the domain root container DN> 
    [-Domain <Domain FQDN>] [-Report <fully qualified path and name of file to create>]
    

    Пример:For example:

    Test-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net" -Report "C:\Log\OUPermissionsTest.html"
    

Установка разрешения для объектов Computer после проведения подготовки доменаSet Permissions for Computer Objects after Running Domain Preparation

В заблокированной среде Active Directory с отключенным наследованием разрешений подготовка домена не ведет к установке необходимых элементов ACE для контейнеров или организационных подразделений внутри домена, содержащих объекты Computer.In a locked-down Active Directory environment where permissions inheritance is disabled, domain preparation does not set the necessary ACEs on the containers or OUs that hold Computer objects within the domain. В этом случае необходимо выполнить командлет Grant-CsOuPermission на каждом контейнере или подразделении с компьютерами, на которых работает Lync Server, где отключено наследование разрешений.In this situation, you must run the Grant-CsOuPermission cmdlet on each container or OU that has computers running Lync Server where permissions inheritance is disabled. Параметр ObjectType задает тип объекта.The ObjectType parameter specifies the object type.

Эта процедура добавляет необходимые элементы ACE непосредственно для указанных контейнеров.This procedure adds the required ACEs directly on the specified containers.

Для запуска этого командлета необходимы права пользователя, эквивалентные членству в группе администраторов домена.You need user rights equivalent to Domain Admins group membership to run this cmdlet. Если ACE, прошедшие проверку подлинности, также были удалены, необходимо предоставить этой учетной записи ACE для доступа на чтение в соответствующих контейнерах в корневом домене леса, как описано в разделе разрешения пользователей с проверкой подлинности удалено в Lync Server 2013 или использовать учетную запись, входящую в группу администраторов предприятия.If the authenticated user ACEs have also been removed, you must grant this account read-access ACEs on the relevant containers in the forest root domain as described in Authenticated user permissions are removed in Lync Server 2013 or use an account that is a member of the Enterprise Admins group.

Установка необходимых элементов ACE для объектов ComputerTo set required ACEs for computer objects

  1. Выполните вход на компьютер, присоединенный к домену, с использованием учетной записи, которая является членом группы администраторов домена или имеет эквивалентные права пользователя.Log on to the domain computer with an account that is a member of the Domain Admins group or that has equivalent user rights.

  2. Запустите командную консоль Lync Server: нажмите кнопку Пуск, последовательно выберите пункты Все программы и Microsoft Lync Server 2013 и щелкните элемент Командная консоль Lync Server.Start the Lync Server Management Shell: Click Start, click All Programs, click Microsoft Lync Server 2013, and then click Lync Server Management Shell.

  3. ВыполняемRun:

    Grant-CsOuPermission -ObjectType <Computer> 
    -OU <DN name for the computer OU container relative to the domain root container DN> 
    [-Domain <Domain FQDN>][-Report <fully qualified path and name of output report>]
    

    Если параметр Domain не указан, значением по умолчанию является локальный домен.If you do not specify the Domain parameter, the default value is the local domain.

    Пример:For example:

    Grant-CsOuPermission -ObjectType "Computer" -OU "ou=Lync Servers,dc=litwareinc,dc=com" -Report "C:\Logs\OUPermissions.xml"
    
  4. В примере журнала C: \ Logs \OUPermissions.xml, результаты будут выполняться <Success> по завершении каждой задачи, после чего необходимо убедиться в отсутствии ошибок, а затем закрыть журнал.In the example log file C:\Logs\OUPermissions.xml, you would look for <Success> Execution Result at the end of each task and verify that there are no errors, and then close the log. Для проверки разрешений можно воспользоваться следующим командлетом:You can run the following cmdlet to test permissions:

    Test-CsOuPermission -ObjectType <type of object> 
    -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]
    

    Пример:For example:

    Test-CsOuPermission -ObjectType "user","contact" -OU "cn=Bellevue,dc=contoso,dc=net" -Domain "contoso.net"
    

    Примечание

    При выполнении подготовки домена в корневом домене леса в заблокированной среде Active Directory следует учитывать, что Lync Server должен иметь доступ к схеме Active Directory и контейнерам конфигурации.If you run domain preparation on the forest root domain in a locked-down Active Directory environment, be aware that Lync Server requires access to the Active Directory Schema and Configuration containers.
    Если разрешение пользователя, прошедшего проверку подлинности по умолчанию, удалено из схемы или из контейнеров конфигурации в доменных   службах Active Directory, доступ к заданному контейнеру разрешен только членам группы "Администраторы схемы" (для контейнера схемы) или "Администраторы предприятия" (для контейнера конфигурации).If the default authenticated user permission is removed from the Schema or the Configuration containers in AD DS, only members of the Schema Admins group (for Schema container) or Enterprise Admins group (for Configuration container) are permitted to access the given container. Так как Setup.exe, командлеты командной консоли Lync Server и панель управления Lync Server требуют доступа к этим контейнерам, установка и установка средств администрирования не будут выполняться, если пользователь, выполняющий установку, не имеет прав, эквивалентных администраторам схемы и членству в группе "Администраторы предприятия".Because Setup.exe, Lync Server Management Shell cmdlets, and Lync Server Control Panel require access to these containers, Setup and installation of the administrative tools will fail unless the user running the installation has user rights equivalent to Schema Admins and Enterprise Admins group membership.
    Чтобы решить эту проблему, необходимо предоставить группе RTCUniversalGlobalWriteGroup доступ на чтение и запись к контейнерам Schema и Configuration.To remedy this situation, you must grant RTCUniversalGlobalWriteGroup group Read, Write access to the Schema and Configuration containers.