Lync Server Panel de control devuelve el error "Derechos de acceso insuficientes para realizar la operación" al intentar un usuario de movimiento o habilitar un comando de usuario

Síntomas

Al usar el Panel de control Lync Server para habilitar o mover un Active Directory, se devuelve el siguiente error al usuario de dominio de servicio de directorio para su uso con Lync Server:

Error en la operación de Active Directory en "DC1.contoso.com". No se puede reintentar esta operación: "Derechos de acceso insuficientes para realizar la operación"

Causa

El error que se describe en la sección SÍNTOMAs de este artículo se debe a la combinación de los dos motivos siguientes:

  • La cuenta de usuario que forma parte de la operación de movimiento o habilitación de Lync Server es miembro de un grupo de seguridad de dominio protegido del servicio de directorio de Active Directory. Dado que la cuenta de usuario pertenece a un grupo de seguridad de dominio protegido de Windows Server, no puede mantener los grupos de seguridad universal rtcuniversaluseradmins y RTCUniversalUserReadOnlyGroup lync server y sus permisos como entradas de Access Control (ACE) para la lista predeterminada de Access Control (ACL) del grupo de seguridad de dominio protegido.
  • El Panel de control lync server no está diseñado para delegar los permisos de RTCUniversalUserAdmins y RTCUniversalUserReadOnlyGroup Grupos de seguridad universal de Lync Server necesarios para completar el movimiento de la cuenta de usuario o habilitar la operación.

Nota

Por ejemplo, el grupo de seguridad global Administradores de dominio es Windows grupo protegido por el servidor. Para obtener información detallada sobre los grupos de seguridad protegidos de Windows Server y Active Directory, los procesos de servicio de directorio que mantienen sus entradas de lista de Access Control predeterminadas, consulte la sección MÁS INFORMACIÓN de este artículo.

Solución

Use el shell de administración de Lync Server para administrar los siguientes cmdlets de PowerShell de Lync Server para realizar la habilitación de cuenta de usuario de las operaciones de movimiento:

Nota

Los permisos equivalentes al grupo RTCUniversalUserAmins son necesarios para usar correctamente los cmdlets Enable-CsUser, Move-CsUser, Move-CsLegacyuser Lync Server PowerShell.

  1. Enable-CsUser -Identity "Bill Anderson" -RegistrarPool "pool01.contoso.com" -SipAddressType EmailAddress -SipDomain contoso.com

    • Para ver una lista de ejemplos para el uso del cmdlet de PowerShell de Enable-CsUser Lync Server, use el Shell de administración de Lync y escriba el siguiente cmdlet de PowerShell: Get-Help Enable-CsUser -Examples
  2. Move-CsUser -Identity "Bill Anderson" -Target "pool01.contoso.com"

    • Para ver una lista de ejemplos para el uso del cmdlet de PowerShell de Move-CsUser Lync Server, use el Shell de administración de Lync y escriba el siguiente cmdlet de PowerShell: Get-Help Move-CsUser -Example
  3. Move-CsLegacyUser -Identity "Bill Anderson" -Target "pool01.contoso.com"

    • Para ver una lista de ejemplos para el uso del cmdlet de PowerShell de Move-CsLegacyUser Lync Server, use el Shell de administración de Lync y escriba el siguiente cmdlet de PowerShell: Get-Help Move-LegacyCsUser -Examples

Más información

Para obtener información más detallada sobre los permisos necesarios para usar lync server Panel de control y cómo usar el Panel de control de Lync Server para agregar Active Directory, los usuarios del servicio de directorio al grupo de servidores de Lync Server revisen la siguiente información:

Habilitar o deshabilitar usuarios para Lync Server

Windows Server Active Directory, los grupos de seguridad del servicio de directorio que son grupos protegidos designados bloquearán la herencia de entradas de Access Control (ACE) no predeterminadas a su lista de Access Control predeterminada (ACL) como medida de seguridad. Windows Los grupos protegidos por el servidor constan de la lista de grupos administrativos predeterminados que se usan para administrar la Windows server enterprise.

El vínculo que se muestra a continuación proporciona los detalles de los procesos que se usan para administrar el nivel de seguridad predeterminado para los grupos de seguridad protegidos Windows servidor:

AdminSDHolder, Protected Groups y SDPROP para Windows Server

Para obtener información más detallada sobre cómo usar los cmdlets Enable-CsUser, Move-CsUser y Move-CsLegacyUser Lync Server PowerShell, consulte la siguiente información de Microsoft TechNet:

¿Aún necesita ayuda? Visite Comunidad Microsoft.