• 發行項

已驗證的使用者權限已移除

上次修改主題的時間: 2009-01-23

在鎖定的 Active Directory 網域服務 (AD DS) 環境中,已驗證的使用者存取控制項目 (ACE) 會從預設的 Active Directory 容器 (包括「使用者」、「設定」或「系統」,以及儲存使用者和電腦物件的組織單位 (OU)) 中移除。移除已驗證的使用者 ACE,可防止對 Active Directory 資訊進行讀取存取,不過,移除 ACE 也會讓 Office Communications Server 產生問題,因為伺服器必須依賴這些容器的讀取權限,才能讓使用者執行網域準備作業。

在這種情況下,DomainAdmins 群組的成員資格 (執行網域準備、伺服器啟動和集區建立時必須具備的成員資格),就不再授與儲存於預設容器之 Active Directory 資訊的讀取存取權。您必須手動授與樹系根網域中各種容器的讀取存取權限,才能檢查必要的樹系準備程序是否完成。

若要啟用使用者,以便在任何非樹系根網域上執行網域準備、伺服器啟動或集區建立作業,您有以下的選項:

  • 使用 EnterpriseAdmins 群組成員的帳戶來執行網域準備作業。
  • 使用 DomainAdmins 群組成員的帳戶,在樹系根網域中每個下列容器上,將讀取存取權限授與此帳戶:
    • 網域
    • 設定或系統

如果不想使用 EnterpriseAdmins 群組成員的帳戶來執行網域準備或其他設定工作,請將樹系根中相關容器的讀取存取權明確授與要使用的帳戶。

若要將樹系根網域中容器的讀取存取權限指定給使用者

  1. 使用樹系根網域 DomainAdmins 群組成員的帳戶,登入已加入樹系根網域的電腦。

  2. 為樹系根網域執行 adsiedit.msc。

    如果已驗證的使用者 ACE 已從「網域」、「設定」或「系統」容器中移除,您必須將唯讀權限授與容器,如下列步驟所述。

  3. 用滑鼠右鍵按一下容器,然後按一下 [內容]

  4. 按一下 [安全性] 索引標籤。

  5. 按一下 [進階]

  6. [使用權限] 索引標籤上,按一下 [新增]

  7. 使用下列格式,輸入接收權限的使用者或群組名稱:網域\帳戶名稱

  8. 按一下 [確定]

  9. [物件] 索引標籤的 [套用到] 中,按一下 [只有此物件]

  10. [使用權限] 中,按一下 [允許] 欄以選取下列「允許 ACE」:[清單內容][讀取全部內容][讀取權限]

  11. 按兩次 [確定]

  12. 針對步驟 2 中列出的任何相關容器,重複執行上述步驟。