Заблокировано наследование разрешений для компьютеров, пользователей и контейнеров inetOrgPerson в Lync Server 2013
Последнее изменение раздела: 2014-12-19
В заблокированном доменные службы Active Directory объекты "Пользователи и компьютеры" часто помещаются в определенные подразделения с отключенным наследованием разрешений для защиты административного делегирования и включения использования объектов групповая политика (GPO) для применения политик безопасности.
Подготовка домена и активация сервера задают записи управления доступом (AES), необходимые для Lync Server 2013. Если наследование разрешений отключено, группы безопасности Lync Server не могут наследовать эти API. Если эти разрешения не наследуются, группы безопасности Lync Server не могут получить доступ к параметрам, и возникают следующие две проблемы:
Для администрирования пользователей, InetOrgPersons и контактов, а также для работы серверов группам безопасности Lync Server требуются API, задаваемые процедурой подготовки домена для наборов свойств каждого пользователя, обмена данными в режиме реального времени (RTC), поиска пользователей RTC и общедоступной информации. Если наследование разрешений отключено, группы безопасности не наследуют эти API и не могут управлять серверами или пользователями.
Для обнаружения серверов и пулов серверы под управлением Lync Server используют API, задаваемые активацией для объектов, связанных с компьютером, включая объект microsoft Container и Server. Если наследование разрешений отключено, группы безопасности, серверы и пулы не наследуют эти API и не могут воспользоваться преимуществами этих API.
Чтобы устранить эти проблемы, Lync Server предоставляет командлет Grant-CsOuPermission . Этот командлет задает необходимые API Lync Server непосредственно в указанном контейнере и подразделениях, а также объектах в контейнере или подразделении.
Установка разрешений для объектов user, InetOrgPerson и Contact после выполнения подготовки домена
В заблокированной среде Active Directory, где наследование разрешений отключено, подготовка домена не задает необходимые API для контейнеров или подразделений, содержащих объекты Users или InetOrgPerson в домене. В этом случае необходимо выполнить командлет Grant-CsOuPermission в каждом контейнере или подразделении с объектами User или InetOrgPerson, для которых наследование разрешений отключено. Если у вас есть топология центрального леса, необходимо также выполнить эту процедуру для контейнеров или подразделений, содержащих объекты контактов. Дополнительные сведения о топологиях центрального леса см. в поддерживаемых топологиях Active Directory в Lync Server 2013 в документации по поддержке. Параметр ObjectType указывает тип объекта. Параметр подразделения указывает подразделение.
Этот командлет добавляет необходимые ACL непосредственно в указанные контейнеры или подразделения, а также объекты User или InetOrgPerson в контейнере. Если подразделение, в котором выполняется эта команда, имеет дочерние подразделения с объектами User или InetOrgPerson, разрешения к этим подразделениям применяться не будут. Вам потребуется выполнить команду для каждого дочернего подразделения по отдельности. Это распространенный сценарий с развертываниями размещения Lync, например родительские клиенты OU=OCS, DC=CONTOSO,DC=LOCAL и child OU=Tenant1, OU=OCS Tenants ,DC=CONTOSO,DC=LOCAL.
Для выполнения этого командлета требуются права пользователя, эквивалентные членству в группе администраторов домена. Если прошедшие проверку подлинности пользовательские API также были удалены в заблокированной среде, необходимо предоставить этой учетной записи доступ к API для чтения в соответствующих контейнерах или подразделениях в корневом домене леса, как описано в разделе разрешений пользователя с проверкой подлинности, удалены в Lync Server 2013 или использовать учетную запись, которая входит в группу администраторов предприятия.
Задание необходимых API для объектов User, InetOrgPerson и Contact
Войдите на компьютер, присоединенный к домену, с учетной записью, которая является членом группы "Администраторы домена" или имеет эквивалентные права пользователя.
Запустите консоль управления Lync Server: нажмите кнопку "Пуск ", выберите пункт "Все программы ",щелкните Microsoft Lync Server 2013, а затем щелкните Lync Server Management Shell.
Выполните следующую команду:
Grant-CsOuPermission -ObjectType <User | Computer | InetOrgPerson | Contact | AppContact | Device> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]Если параметр domain не указан, по умолчанию используется локальный домен.
Например:
Grant-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net"В файле журнала <> найдите результат успешного выполнения в конце каждой задачи, чтобы убедиться, что разрешения задано, а затем закройте окно журнала. Кроме того, можно выполнить следующую команду, чтобы определить, были ли задано разрешения:
Test-CsOuPermission -ObjectType <type of object> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>] [-Report <fully qualified path and name of file to create>]Например:
Test-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net" -Report "C:\Log\OUPermissionsTest.html"
Установка разрешений для объектов-компьютеров после выполнения подготовки домена
В заблокированной среде Active Directory, где наследование разрешений отключено, подготовка домена не задает необходимые API для контейнеров или подразделений, содержащих объекты Computer в домене. В этом случае необходимо выполнить командлет Grant-CsOuPermission в каждом контейнере или подразделении с компьютерами под управлением Lync Server, где наследование разрешений отключено. Параметр ObjectType указывает тип объекта.
Эта процедура добавляет необходимые ACL непосредственно в указанные контейнеры.
Для выполнения этого командлета требуются права пользователя, эквивалентные членству в группе администраторов домена. Если аутентифицированные пользовательские API также были удалены, необходимо предоставить этой учетной записи доступ на чтение для соответствующих контейнеров в корневом домене леса, как описано в разделе разрешений пользователя, прошедшего проверку подлинности, в Lync Server 2013 или использовать учетную запись, которая является членом группы "Администраторы предприятия".
Установка необходимых API для объектов-компьютеров
Войдите на компьютер домена с учетной записью, которая является членом группы "Администраторы домена" или имеет эквивалентные права пользователя.
Запустите консоль управления Lync Server: нажмите кнопку "Пуск ", выберите пункт "Все программы ",щелкните Microsoft Lync Server 2013, а затем щелкните Lync Server Management Shell.
Выполните следующую команду:
Grant-CsOuPermission -ObjectType <Computer> -OU <DN name for the computer OU container relative to the domain root container DN> [-Domain <Domain FQDN>][-Report <fully qualified path and name of output report>]Если параметр domain не указан, по умолчанию используется локальный домен.
Например:
Grant-CsOuPermission -ObjectType "Computer" -OU "ou=Lync Servers,dc=litwareinc,dc=com" -Report "C:\Logs\OUPermissions.xml"В примере файла журнала C:\Logs\OUPermissions.xml <> результат успешного выполнения в конце каждой задачи и убедитесь, что ошибок нет, а затем закройте журнал. Для проверки разрешений можно выполнить следующий командлет:
Test-CsOuPermission -ObjectType <type of object> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]Например:
Test-CsOuPermission -ObjectType "user","contact" -OU "cn=Bellevue,dc=contoso,dc=net" -Domain "contoso.net"Примечание.
Если вы выполняете подготовку домена в корневом домене леса в заблокированной среде Active Directory, имейте в виду, что Lync Server требуется доступ к контейнерам схемы и конфигурации Active Directory.
Если разрешение пользователя, прошедшее проверку подлинности по умолчанию, удаляется из схемы или контейнеров конфигурации в AD DS, доступ к заданному контейнеру могут получить только члены группы администраторов схемы (для контейнера схемы) или группы администраторов предприятия (для контейнера конфигурации). Так как Setup.exe командлетам командной консоли Lync Server и Lync Server панель управления требуется доступ к этим контейнерам, установка и установка средств администрирования завершится ошибкой, если пользователь, запускаемый при установке, не имеет прав пользователя, эквивалентного членству администраторов схем и администраторов предприятия.
Чтобы устранить эту ситуацию, необходимо предоставить группе RTCUniversalGlobalWriteGroup доступ на чтение, запись к контейнерам схемы и конфигурации.