Partilhar via

  • Artigo

A herança de permissões está desabilitada nos contêineres de Computadores, Usuários ou InetOrgPerson

Tópico modificado em: 2009-04-24

Em um AD DS (Serviço de Domínio Active Directory) bloqueado, os objetos de Usuários e Computador são geralmente colocados em UOs (unidades organizacionais) específicas, com a herança de permissões desabilitada para ajudar a proteger a delegação administrativa e habilitar o uso dos GPOs (Objetos de Diretiva de Grupo) para impor políticas de segurança.

A preparação do domínio e a ativação dos servidores definem as ACEs (entradas de controle de acesso) exigidas pelo Office Communications Server 2007 R2. Quando a herança de permissões está desabilitada, os grupos de segurança do Office Communications Server não podem herdar essas ACEs. Quando essas permissões não são herdadas, os grupos de segurança do Office Communications Server não podem acessar as configurações, e as seguintes questões vêm à tona:

  • Para administrar Usuários, InetOrgPersons e Contatos, bem como para operar servidores, os grupos de segurança do Office Communications Server requerem ACEs definidas pelo procedimento de preparação de domínio nos conjuntos de propriedades de cada usuário, RTC (Real-time Communications), Pesquisa de Usuário do RTC e Informações Públicas. Quando a herança de permissões está desabilitada, os grupos de segurança não herdam essas ACEs e não podem gerenciar servidores ou usuários.
  • Para descobrir servidores e pools, os servidores do Office Communications Server dependem das ACEs definidas por ativação em objetos relacionados ao computador, incluindo o objeto de Servidor e Contêiner Microsoft. Quando a herança de permissões está desabilitada, os grupos de segurança, servidores e pools não herdam essas ACEs e não podem beneficiar-se delas.

Para solucionar esses problemas, o Office Communications Server fornece um procedimento de preparação adicional do Active Directory denominado CreateLcsOuPermissions, disponível na ferramenta de linha de comando LcsCmd.exe. Esse procedimento define as ACEs do Office Communications Server diretamente em um contêiner especificado e nos objetos dentro do contêiner.

Definir permissões para os objetos de Usuário, InetOrgPerson e Contato após executar a preparação do domínio

Em um ambiente do Active Directory bloqueado em que a herança de permissões está desabilitada, a preparação do domínio não define as ACEs necessárias nos contêineres que armazenam objetos de Usuários ou InetOrgPerson dentro do domínio. Nessa situação, você deve executar a ferramenta LcsCmd.exe com a ação CreateLcsOuPermissions em cada contêiner que tenha os objetos de Usuário ou InetOrgPerson cuja herança de permissões está desabilitada. Se você tiver uma topologia de floresta central, também deverá executar esse procedimento no contêiner que armazena os objetos de Contato. (Para obter detalhes sobre as topologias de floresta central, consulte Topologias do Active Directory aceitas.) O parâmetro /objecttype especifica o tipo de objeto.

Esse procedimento adiciona as ACEs necessárias diretamente nos contêineres especificados e nos objetos de Usuário ou InetOrgPerson dentro do contêiner.

Para executar esse procedimento, são necessários direitos de usuário equivalentes aos da associação ao grupo Admins. do Domínio. Se as ACEs de usuário autenticado também tiverem sido removidas do ambiente bloqueado, você deverá conceder a essa conta ACEs de acesso de leitura nos contêineres relevantes no domínio raiz da floresta, conforme descrito na seção As permissões de usuário autenticado são removidas, ou usar uma conta que seja membro do grupo Administração de Empresa.

Para definir as ACEs necessárias aos objetos de Usuário, InetOrgPerson e Contato

  1. Faça logon em um computador associado ao domínio com uma conta que seja membro do grupo Admins. do Domínio ou que possua direitos de usuário equivalentes.

  2. Abra um prompt de comando e execute:

    LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] 
/action:CreateLcsOuPermissions 
/ou:<DN name for the OU container relative to the domain root container DN> 
/objectType:<type of object to create Office Communications Server ACEs for – user, InetOrgPerson, contact, AppContact>

    Por exemplo:

    LcsCmd.exe /domain /action:CreateLcsOuPermissions 
/ou:”OU=usersOU” /objectType:user

  3. No arquivo de log, procure o Resultado da Execução <Êxito> no final de cada tarefa para verificar se as permissões foram definidas e feche a janela de log. Uma alternativa é executar o seguinte comando para determinar se as permissões foram definidas:

    LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] 
/action:CheckLcsOuPermissions 
/ou:<DN name for the OU container relative to the domain root container DN> 
/objectType:<type of object – user, InetOrgPerson, contact, AppContact

Definir permissões para os objetos de Computador após executar a preparação do domínio

Em um ambiente do Active Directory bloqueado em que a herança de permissões está desabilitada, a preparação do domínio não define as ACEs necessárias nos contêineres que armazenam objetos de Computador dentro do domínio. Nessa situação, você deve executar a ferramenta LcsCmd.exe com a ação CreateLcsOuPermissions em cada contêiner que tenha computadores executando o Office Communications Server com a herança de permissões desabilitada. O parâmetro /objecttype especifica o tipo de objeto.

Esse procedimento adiciona as ACEs necessárias diretamente nos contêineres especificados.

Para executar esse procedimento, são necessários direitos de usuário equivalentes aos da associação ao grupo Admins. do Domínio. Se as ACEs do usuário autenticado também tiverem sido removidas, você deverá conceder a essa conta ACEs de acesso de leitura nos contêineres relevantes no domínio raiz da floresta, conforme descrito na seção As permissões de usuário autenticado são removidas, ou usar uma conta que seja membro do grupo Administração de Empresa.

Para definir as ACEs necessárias aos objetos de Computador

  1. Faça logon no computador do domínio com uma conta que seja membro do grupo Admins. do Domínio ou que possua direitos de usuário equivalentes.

  2. Abra um prompt de comando e execute:

    LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>]
/action:CreateLcsOuPermissions 
/ou:<DN name for the computer OU container relative to the domain root container DN>
/objectType:<computer>

    Por exemplo:

    LcsCmd.exe /domain:resources.corp.woodgrovebank.com 
/action:CreateLcsOuPermissions /ou:”OU=computersOU”
/objectType:computer

  3. No arquivo de log, procure o Resultado da Execução <Êxito> no final de cada tarefa, verifique se não há erros e feche a janela de log. Uma alternativa é executar o seguinte comando para determinar se as permissões foram definidas:

    LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] 
/action:CheckLcsOuPermissions 
/ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>
    Dd441161.note(pt-br,office.13).gifObservação:
    Se você executar a preparação do domínio no domínio raiz da floresta, em um ambiente do Active Directory bloqueado, lembre-se de que o Office Communications Server requer acesso aos contêineres Esquema e Configuração do Active Directory.
    Se a permissão de usuário autenticado padrão for removida dos contêineres Esquema ou Configuração no AD DS, apenas os membros do grupo Administradores de Esquema ou Administração de Empresa terão permissão para acessar esse contêiner. Como o Setup.exe, o LcsCmd.exe e o snap-in precisam ter acesso a esses contêineres, a instalação das ferramentas administrativas falhará, a menos que o usuário que esteja executando a instalação tenha direitos de usuário equivalentes aos de associação nos grupos Administradores de Esquema e Administração de Empresa.
    Para solucionar esse problema, você deve conceder ao grupo RTCUniversalGlobalReadOnly acesso aos contêineres Esquema e Configuração.