在 Lync Server 2013 中删除经过身份验证的用户的权限

 

上次修改的主题： 2013-02-21

在锁定的 Active Directory 环境中，已通过身份验证的用户访问控制条目 (ACE) 将从默认 Active Directory 容器中删除，包括用户、配置或系统，以及存储用户和计算机对象的 OU (组织单位) 。 删除经过身份验证的用户 ACE 会阻止读取对 Active Directory 信息的访问。 但是，删除 AES 会为 Lync Server 2013 带来问题，因为它依赖于对这些容器的读取权限，以允许用户运行域准备。

在这种情况下，域管理员组中的成员身份（运行域准备、服务器激活和池创建需要）不再授予对存储在默认容器中的 Active Directory 信息的读取访问权限。 必须手动授予对林根域中各种容器的读取访问权限，以检查先决条件林准备过程是否已完成。

若要使用户能够在任何非林根域上运行域准备、服务器激活或池创建，可以使用以下选项：

• 使用属于企业管理员组成员的帐户来运行域准备。

• 使用属于域管理员组成员的帐户，并在林根域中的每个容器上授予此帐户读取访问权限：

  • 域

  • 配置或系统

如果不想使用企业管理员组成员的帐户来运行域准备或其他安装任务，请显式授予要对林根中相关容器使用读取访问权限的帐户。

向用户授予对林根域中容器的读取访问权限

1. 使用作为林根域的域管理员组成员的帐户登录到已加入林根域的计算机。

2. 为林根域运行 adsiedit.msc。

   如果已从域、配置或系统容器中删除了经过身份验证的用户 AES，则必须向容器授予只读权限，如以下步骤中所述。

3. 右键单击容器，然后单击 “属性”。

4. 单击“ 安全” 选项卡。

5. 单击“高级”。

6. 在“ 权限” 选项卡上，单击 “添加”。

7. 使用以下格式键入接收权限的用户或组的名称， domain\account name然后单击 “确定”。

8. 在 “对象 ”选项卡上的“ 应用到”中， 单击“仅限此对象”。

9. 在 “权限”中，单击“ 允许 ”列： “列出内容”、“读取 所有属性”和“ 读取权限”，选择以下“允许 AES”。

10. 单击 “确定” 两次。

11. 对步骤 2 中列出的任何相关容器重复这些步骤。