Permissões de usuário autenticado são removidas no Lync Server 2013
Tópico Última Modificação: 21-02-2013
Em um ambiente do Active Directory bloqueado, as ACEs (entradas de controle de acesso do usuário) autenticadas são removidas dos contêineres padrão do Active Directory, incluindo os usuários, a configuração ou o sistema e as UOs (unidades organizacionais) em que os objetos User e Computer são armazenados. A remoção de ACEs de usuário autenticadas impede o acesso de leitura às informações do Active Directory. No entanto, a remoção das ACEs cria problemas para o Lync Server 2013 porque depende das permissões de leitura para esses contêineres para permitir que os usuários executem a preparação do domínio.
Nessa situação, a associação ao grupo Administradores de Domínio, que é necessário para executar a preparação do domínio, a ativação do servidor e a criação do pool, não concede mais acesso de leitura às informações do Active Directory armazenadas nos contêineres padrão. Você deve conceder manualmente permissões de acesso de leitura em vários contêineres no domínio raiz da floresta para verificar se o procedimento de preparação da floresta de pré-requisitos está concluído.
Para permitir que um usuário execute a preparação do domínio, a ativação do servidor ou a criação de pool em qualquer domínio raiz não florestal, você tem as seguintes opções:
Use uma conta que seja membro do grupo Administradores Corporativos para executar a preparação do domínio.
Use uma conta que seja membro do grupo Administradores de Domínio e conceda a essa conta permissões de acesso de leitura em cada um dos seguintes contêineres no domínio raiz da floresta:
Domínio
Configuração ou sistema
Se você não quiser usar uma conta que seja membro do grupo Administradores Corporativos para executar a preparação do domínio ou outras tarefas de Instalação, conceda explicitamente a conta que você deseja usar acesso de leitura nos contêineres relevantes na raiz da floresta.
Para conceder aos usuários permissões de acesso de leitura em contêineres no domínio raiz da floresta
Faça logon no computador ingressado no domínio raiz da floresta com uma conta que seja membro do grupo Administradores de Domínio para o domínio raiz da floresta.
Execute adsiedit.msc para o domínio raiz da floresta.
Se as ACEs de usuário autenticadas foram removidas do contêiner domínio, configuração ou sistema, você deve conceder permissões somente leitura ao contêiner, conforme descrito nas etapas a seguir.
Clique com o botão direito do mouse no contêiner e clique em Propriedades.
Clique na guia Segurança.
Clique em Avançado.
Na guia Permissões , clique em Adicionar.
Digite o nome do usuário ou grupo que recebe permissões usando o seguinte formato:
domain\account name
e clique em OK.Na guia Objetos , em Aplica-se a, clique somente neste objeto.
Em Permissões, selecione as seguintes ACEs de Permissão clicando na coluna Permitir: Listar Conteúdo, Ler Todas as Propriedades e Permissões de Leitura.
Clique em OK duas vezes.
Repita essas etapas para qualquer um dos contêineres relevantes listados na Etapa 2.