Udostępnij za pośrednictwem

Program Lync Server Panel sterowania zwraca ten błąd "Niewystarczające prawa dostępu do wykonania operacji" podczas próby przeniesienia użytkownika lub włączenia polecenia użytkownika

  • Dotyczy: Lync Server 2010 Enterprise Edition, Lync Server 2010 Standard Edition, Lync Server 2013

Symptomy

W przypadku korzystania z programu Lync Server Panel sterowania w celu włączenia lub przeniesienia usługi Active Directory użytkownik domeny usługi katalogowej do użycia z programem Lync Server zwraca następujący błąd:

Operacja usługi Active Directory nie powiodła się w przypadku "DC1.contoso.com". Nie można ponowić tej operacji: "Niewystarczające prawa dostępu do wykonania operacji"

Przyczyna

Błąd opisany w sekcji SYMPTOMS tego artykułu jest spowodowany kombinacją dwóch następujących powodów:

  • Konto użytkownika, które jest częścią operacji przenoszenia lub włączania serwera Programu Lync, jest członkiem grupy zabezpieczeń domeny chronionej przez usługę katalogową usługi Active Directory. Ponieważ konto użytkownika należy do grupy zabezpieczeń domeny chronionej przez system Windows Server, nie może zachować grup zabezpieczeń RTCUniversalUserAdmins i RTCUniversalUserReadOnlyGroup Lync Server Universal Security i ich uprawnień jako Access Control Wpisy (ACE) dla domyślnej listy Access Control (ACL) grupy zabezpieczeń domeny chronionej.
  • Program Lync Server Panel sterowania nie jest przeznaczony do delegowania uprawnień grup zabezpieczeń RTCUniversalUserAdmins i RTCUniversalUserReadOnlyGroup Lync Server Universal Security, które są potrzebne do ukończenia operacji przenoszenia lub włączania konta użytkownika.

Uwaga

Na przykład globalna grupa zabezpieczeń Administratorzy domeny jest grupą chronioną systemu Windows Server. Aby uzyskać szczegółowe informacje na temat chronionych grup zabezpieczeń systemu Windows Server i usługi Active Directory, procesy usługi katalogowej, które obsługują domyślne wpisy listy Access Control, zobacz sekcję WIĘCEJ INFORMACJI w tym artykule.

Rozwiązanie

Użyj powłoki zarządzania programem Lync Server, aby administrować następującymi poleceniami cmdlet programu PowerShell programu Lync Server w celu umożliwienia operacji przenoszenia konta użytkownika:

Uwaga

Uprawnienia równoważne grupie RTCUniversalUserAmins są wymagane do pomyślnego użycia poleceń cmdlet Enable-CsUser, Move-CsUser Move-CsLegacyuser programu PowerShell programu Lync Server.

  1. Enable-CsUser -Identity "Bill Anderson" -RegistrarPool "pool01.contoso.com" -SipAddressType EmailAddress -SipDomain contoso.com

    • Aby wyświetlić listę przykładów użycia polecenia cmdlet programu PowerShell programu Enable-CsUser Lync Server, użyj powłoki zarządzania programu Lync i wprowadź następujące polecenie cmdlet programu PowerShell: Get-Help Enable-CsUser -Examples

  2. Move-CsUser -Identity "Bill Anderson" -Target "pool01.contoso.com"

    • Aby wyświetlić listę przykładów użycia polecenia cmdlet programu PowerShell programu Move-CsUser Lync Server, użyj powłoki zarządzania programu Lync i wprowadź następujące polecenie cmdlet programu PowerShell: Get-Help Move-CsUser -Example

  3. Move-CsLegacyUser -Identity "Bill Anderson" -Target "pool01.contoso.com"

    • Aby wyświetlić listę przykładów użycia polecenia cmdlet programu PowerShell programu Move-CsLegacyUser Lync Server, użyj powłoki zarządzania programu Lync i wprowadź następujące polecenie cmdlet programu PowerShell: Get-Help Move-LegacyCsUser -Examples

Więcej informacji

Aby uzyskać bardziej szczegółowe informacje na temat uprawnień wymaganych do korzystania z Panel sterowania programu Lync Server oraz sposobu używania Panel sterowania programu Lync Server do dodawania usługi Active Directory, użytkownicy usług katalogowych do puli serwerów programu Lync, zapoznaj się z następującymi informacjami:

Włączanie lub wyłączanie użytkowników programu Lync Server

Windows Server Active Directory grupy zabezpieczeń usługi katalogowej, które są wyznaczonymi grupami chronionymi, zablokują dziedziczenie nie domyślnych wpisów Access Control (ACL) do domyślnej listy Access Control (ACL) jako miary zabezpieczeń. Grupy chronione systemu Windows Server składają się z listy domyślnych grup administracyjnych, które są używane do zarządzania przedsiębiorstwem systemu Windows Server.

Poniższy link zawiera szczegółowe informacje o procesach używanych do zarządzania domyślnym poziomem zabezpieczeń chronionych grup zabezpieczeń systemu Windows Server:

AdminSDHolder, grupy chronione i SDPROP dla systemu Windows Server

Aby uzyskać bardziej szczegółowe informacje na temat korzystania z poleceń cmdlet Enable-CsUser, Move-CsUser i Move-CsLegacyUser Lync Server PowerShell, zapoznaj się z następującymi informacjami w witrynie Microsoft TechNet:

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community.