La herencia de permisos está deshabilitada en los contenedores Computer, Users o InetOrgPerson en Lync Server 2013

  • Artículo

 

Última modificación del tema: 12-12-2014

En un Servicios de dominio de Active Directory bloqueado, los objetos Usuarios y Equipo suelen colocarse en unidades organizativas (OU) específicas con la herencia de permisos deshabilitada para ayudar a proteger la delegación administrativa y permitir el uso de objetos de directiva de grupo (GPO) para aplicar directivas de seguridad.

La preparación del dominio y la activación del servidor establecen las entradas de control de acceso (AA) necesarias para Lync Server 2013. Cuando se deshabilita la herencia de permisos, los grupos de seguridad de Lync Server no pueden heredar estas CA. Cuando estos permisos no se heredan, los grupos de seguridad de Lync Server no pueden acceder a la configuración y se producen los dos siguientes problemas:

  • Para administrar Usuarios, InetOrgPersons y Contactos, y para operar servidores, los grupos de seguridad de Lync Server requieren las AA establecidas por el procedimiento de preparación del dominio en los conjuntos de propiedades de cada usuario, las comunicaciones en tiempo real (RTC), la búsqueda de usuarios RTC y la información pública. Cuando se deshabilita la herencia de permisos, los grupos de seguridad no heredan estas AE y no pueden administrar servidores o usuarios.

  • Para detectar servidores y grupos, los servidores que ejecutan Lync Server se basan en LASA establecidas mediante la activación en objetos relacionados con el equipo, incluido el objeto Contenedor y Servidor de Microsoft. Cuando se deshabilita la herencia de permisos, los grupos de seguridad, los servidores y los grupos no heredan estas AE y no pueden aprovechar estas CA.

Para solucionar estos problemas, Lync Server proporciona el cmdlet Grant-CsOuPermission . Este cmdlet establece las CA de Lync Server necesarias directamente en un contenedor específico y unidades organizativas, y los objetos dentro del contenedor o la unidad organizativa.

Establecer permisos para objetos de usuario, inetorgperson y contacto después de ejecutar la preparación del dominio

En un entorno de Active Directory bloqueado en el que se deshabilita la herencia de permisos, la preparación del dominio no establece las CA necesarias en los contenedores o unidades de organización que contienen objetos Users o InetOrgPerson dentro del dominio. En esta situación, debe ejecutar el cmdlet Grant-CsOuPermission en cada contenedor o unidad organizativa que tenga objetos User o InetOrgPerson para los que se deshabilite la herencia de permisos. Si tiene una topología de bosque central, también debe realizar este procedimiento en los contenedores u OU que contienen objetos de contacto. Para obtener más información sobre topologías de bosques centrales, consulte Topologías de Active Directory admitidas en Lync Server 2013 en la documentación sobre compatibilidad. El parámetro ObjectType especifica el tipo de objeto. El parámetro OU especifica la unidad organizativa.

Este cmdlet agrega las AE necesarias directamente en los contenedores o OU especificados y los objetos User o InetOrgPerson dentro del contenedor. Si la unidad organizativa en la que se ejecuta este comando tiene OU secundarias con objetos User o InetOrgPerson, los permisos no se aplicarán en ellos. Tendrá que ejecutar el comando en cada unidad organizativa secundaria individualmente. Este es un escenario común con implementaciones de hospedaje de Lync, por ejemplo, inquilinos ou=OCS primarios, DC=CONTOSO,DC=LOCAL y child OU=Tenant1, OU=OCS Tenants ,DC=CONTOSO,DC=LOCAL.

Necesita derechos de usuario equivalentes a la pertenencia a grupos de administradores de dominio para ejecutar este cmdlet. Si las CA de usuario autenticado también se han quitado en el entorno bloqueado, debe conceder a esta cuenta ACCESO de lectura en los contenedores o OU relevantes en el dominio raíz del bosque como se describe en Permisos de usuario autenticados se quitan en Lync Server 2013 o usar una cuenta que sea miembro del grupo Administradores de empresa.

Para establecer las AE necesarias para los objetos User, InetOrgPerson y Contact

  1. Inicie sesión en un equipo unido al dominio con una cuenta que sea miembro del grupo Administradores de dominio o que tenga derechos de usuario equivalentes.

  2. Inicie el Shell de administración de Lync Server: Haga clic en Inicio, haga clic en Todos los programas, haga clic en Microsoft Lync Server 2013 y, a continuación, haga clic en Shell de administración de Lync Server.

  3. Ejecute:

    Grant-CsOuPermission -ObjectType <User | Computer | InetOrgPerson | Contact | AppContact | Device> 
-OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]

    Si no especifica el parámetro Domain, el valor predeterminado es el dominio local.

    Por ejemplo:

    Grant-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net"

  4. En el archivo de registro, busque <Resultado de ejecución correcta> al final de cada tarea para comprobar que se han establecido los permisos y, a continuación, cierre la ventana de registro. O bien, puede ejecutar el siguiente comando para determinar si se han establecido los permisos:

    Test-CsOuPermission -ObjectType <type of object> 
-OU <DN name for the OU container relative to the domain root container DN> 
[-Domain <Domain FQDN>] [-Report <fully qualified path and name of file to create>]

    Por ejemplo:

    Test-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net" -Report "C:\Log\OUPermissionsTest.html"

Establecer permisos para objetos del equipo después de ejecutar la preparación del dominio

En un entorno de Active Directory bloqueado en el que la herencia de permisos está deshabilitada, la preparación del dominio no establece las CA necesarias en los contenedores u UO que contienen objetos computer dentro del dominio. En esta situación, debe ejecutar el cmdlet Grant-CsOuPermission en cada contenedor o unidad organizativa que tenga equipos que ejecuten Lync Server donde esté deshabilitada la herencia de permisos. El parámetro ObjectType especifica el tipo de objeto.

Este procedimiento agrega los AE necesarios directamente en los contenedores especificados.

Necesita derechos de usuario equivalentes a la pertenencia a grupos de administradores de dominio para ejecutar este cmdlet. Si también se han quitado las CA de usuario autenticado, debe conceder a esta cuenta acceso de lectura en los contenedores relevantes del dominio raíz del bosque, como se describe en Permisos de usuario autenticados se quitan en Lync Server 2013 o usar una cuenta que sea miembro del grupo Administradores de empresa.

Para establecer las AE necesarias para los objetos del equipo

  1. Inicie sesión en el equipo de dominio con una cuenta que sea miembro del grupo Administradores de dominio o que tenga derechos de usuario equivalentes.

  2. Inicie el Shell de administración de Lync Server: Haga clic en Inicio, haga clic en Todos los programas, haga clic en Microsoft Lync Server 2013 y, a continuación, haga clic en Shell de administración de Lync Server.

  3. Ejecute:

    Grant-CsOuPermission -ObjectType <Computer> 
-OU <DN name for the computer OU container relative to the domain root container DN> 
[-Domain <Domain FQDN>][-Report <fully qualified path and name of output report>]

    Si no especifica el parámetro Domain, el valor predeterminado es el dominio local.

    Por ejemplo:

    Grant-CsOuPermission -ObjectType "Computer" -OU "ou=Lync Servers,dc=litwareinc,dc=com" -Report "C:\Logs\OUPermissions.xml"

  4. En el archivo de registro de ejemplo C:\Logs\OUPermissions.xml, buscaría <Resultado de ejecución correcta> al final de cada tarea, comprobaría que no hay errores y, a continuación, cerraría el registro. Puede ejecutar el siguiente cmdlet para probar los permisos:

    Test-CsOuPermission -ObjectType <type of object> 
-OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]

    Por ejemplo:

    Test-CsOuPermission -ObjectType "user","contact" -OU "cn=Bellevue,dc=contoso,dc=net" -Domain "contoso.net"

    Nota

    Si ejecuta la preparación del dominio en el dominio raíz del bosque en un entorno de Active Directory bloqueado, tenga en cuenta que Lync Server requiere acceso a los contenedores de configuración y esquema de Active Directory.
    Si se quita el permiso de usuario autenticado predeterminado del esquema o de los contenedores de configuración en AD DS, solo los miembros del grupo Administradores de esquema (para contenedor de esquema) o del grupo Administradores de empresa (para el contenedor de configuración) tienen acceso al contenedor determinado. Como Setup.exe, los cmdlets del Shell de administración de Lync Server y Lync Server Panel de control requieren acceso a estos contenedores, se producirá un error en la instalación y la instalación de las herramientas administrativas a menos que el usuario que ejecuta la instalación tenga derechos de usuario equivalentes a la pertenencia a grupos Administradores de esquema y Administradores de empresa.
    Para solucionar esta situación, debe conceder acceso de lectura y escritura al grupo RTCUniversalGlobalWriteGroup a los contenedores Schema and Configuration.