Computer、User 或 InetOrgPerson 容器已停用權限繼承
上次修改主題的時間: 2009-04-24
在鎖定的 Active Directory 網域服務 (AD DS) 中,User 及 Computer 物件經常會以停用權限繼承的方式置於特定的組織單位 (OU) 中,以保護系統管理委派的安全性,並允許使用群組原則物件 (GPO) 強制執行安全性原則。
網域準備和伺服器啟動會設定 Office Communications Server 2007 R2 所需的存取控制項目 (ACE)。在停用權限繼承的情況下,Office Communications Server 安全性群組無法繼承這些 ACE。一旦無法繼承這些權限,Office Communications Server 安全性群組便不能存取設定,因此會產生下列兩個問題:
- 若要管理 User、InetOrgPerson、Contact 並運作伺服器,Office Communications Server 安全性群組在每個使用者的屬性集、Real-time Communications (RTC)、RTC 使用者搜尋和公用資訊上都必須有網域準備程序所設定的 ACE。在停用權限繼承的情況下,安全性群組無法繼承這些 ACE,因此無法管理伺服器或使用者。
- 若要探索伺服器和集區,Office Communications Server 伺服器必須依賴電腦相關物件 (包括 Microsoft Container 和 Server 物件) 啟動時所設定的 ACE。在停用權限繼承的情況下,安全性群組、伺服器和集區無法繼承這些 ACE,因此無法利用這些 ACE。
為了解決這些問題,Office Communications Server 提供了名稱為 CreateLcsOuPermissions 的額外 Active Directory 準備程序,可搭配 LcsCmd.exe 命令列部署工具使用。此程序會直接在指定的容器及容器內的物件上設定必要的 Office Communications Server ACE。
執行網域準備之後,在 User、InetOrgPerson 和 Contact 物件上設定權限
在鎖定的 Active Directory 環境中,如果已停用權限繼承,便不會設定網域內 User 或 InetOrgPerson 物件之容器上的必要 ACE。在此情況下,您必須在每個包含 User 或 InetOrgPerson 物件的容器 (其中已停用權限繼承) 上,以 CreateLcsOuPermissions 動作執行 LcsCmd.exe。如果您擁有中央樹系拓撲,也必須對包含 Contact 物件的容器執行此程序 (如需中央樹系拓撲的詳細資料,請參閱支援的 Active Directory 拓撲)。/objecttype 參數會指定物件類型。
這個程序會直接在指定的容器以及容器內的 User 或 InetOrgPerson 物件上新增必要的 ACE。
若要執行此程序,需要相當於 DomainAdmins 群組成員資格的使用者權限。如果已驗證的使用者 ACE 也已經在鎖定環境中遭到移除,您必須將樹系根網域中相關容器的讀取存取 ACE 授與此帳戶 (如已驗證的使用者權限已移除所述,或使用屬於 EnterpriseAdmins 群組成員的帳戶。
針對 User、InetOrgPerson 與 Contact 物件設定所需的 ACE
以 DomainAdmins 群組成員的帳戶或具備同等使用者權限的帳戶,登入加入網域中的電腦。
開啟命令提示字元,然後執行:
LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CreateLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:<type of object to create Office Communications Server ACEs for – user, InetOrgPerson, contact, AppContact>例如:
LcsCmd.exe /domain /action:CreateLcsOuPermissions /ou:”OU=usersOU” /objectType:user在記錄檔中,尋找每個工作結尾的 <成功> [執行結果],以確認權限已設定,然後關閉記錄視窗。或者,您可以執行下列命令,來判斷是否已經設定權限:
LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CheckLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:<type of object – user, InetOrgPerson, contact, AppContact
執行網域準備之後,設定 Computer 物件的權限
在鎖定的 Active Directory 環境中,如果停用權限繼承,便不會設定網域內 Computer 物件之容器上的必要 ACE。在此情況下,您必須在每個包含執行 Office Communications Server 之電腦的容器 (其中已停用權限繼承) 上,以 CreateLcsOuPermissions 動作執行 LcsCmd.exe。參數 /objecttype 會指定物件類型。
此程序會直接在指定容器上新增必要的 ACE。
若要執行此程序,需要相當於 DomainAdmins 群組成員資格的使用者權限。如果已驗證的使用者 ACE 也已經移除,您必須將樹系根網域中相關容器的讀取存取 ACE 授與此帳戶 (如已驗證的使用者權限已移除所述,或使用屬於 EnterpriseAdmins 群組成員的帳戶。
針對 Computer 物件設定所需的 ACE
以 DomainAdmins 群組成員的帳戶或具備同等使用者權限的帳戶,登入網域電腦。
開啟命令提示字元,然後執行:
LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CreateLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>例如:
LcsCmd.exe /domain:resources.corp.woodgrovebank.com /action:CreateLcsOuPermissions /ou:”OU=computersOU” /objectType:computer在記錄檔中,尋找每個工作結尾的 <成功> [執行結果],並確認沒有錯誤,然後關閉記錄。或者,您可以執行下列命令,來判斷是否已經設定權限:
LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CheckLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>.gif "Dd441161.note(zh-tw,office.13).gif")
附註:如果在已鎖定 Active Directory 的環境中,於樹系根網域上執行網域準備,請記住 Office Communications Server 必須存取 Active Directory 架構和設定容器。
如果預設的已驗證使用者權限已從 AD DS 的架構或設定容器中移除,則只允許 Schema Admins 群組或 EnterpriseAdmins 群組的成員存取這個容器。因為 Setup.exe、LcsCmd.exe 和嵌入式管理單元必須要有這些容器的存取權,除非執行安裝的使用者擁有相當於 Schema Admins 及 EnterpriseAdmins 群組成員資格的使用者權限,否則無法設定及安裝系統管理工具。
如果要補救這種狀況,您必須將 RTCUniversalGlobalReadOnly 群組存取權授與架構和設定容器。