删除了经过身份验证的用户的权限
上一次修改主题: 2009-01-23
在锁定的 Active Directory 域服务 (AD DS) 环境中,将从包括其中存储用户对象和计算机对象的“用户”、“配置”或“系统”和组织单位 (OU) 在内的默认 Active Directory 容器中删除经过身份验证的用户访问控制项 (ACE)。删除经过身份验证的用户的 ACE 可以禁止对 Active Directory 信息进行读取访问。但是,删除 ACE 会给 Office Communications Server 造成问题,因为后者让用户运行域准备时依赖于对这些容器的读取权限。
在此情况下,(运行域准备、服务器激活和池创建所必需的)DomainAdmins 组的成员身份不再授予读取存储在默认容器中的 Active Directory 信息的访问权限。必须手动授予读取林根域中各个容器的访问权限,才能检查作为先决条件的林准备过程是否完成。
要使用户能够在任何非林根域上运行域准备、服务器激活或池创建,可以执行以下操作:
- 使用 EnterpriseAdmins 组成员的帐户运行域准备
- 使用 DomainAdmins 组成员的帐户,并向此帐户授予读取林根域中以下每个容器的访问权限:
- “域”
- “配置”或“系统”
如果不想使用 EnterpriseAdmins 组成员的帐户运行域准备或其他安装任务,请向要使用的帐户显式授予读取林根中相关容器的访问权限。
向用户授予对林根域中容器的读取访问权限
使用林根域的 DomainAdmins 组成员的帐户登录到已加入该林根域的计算机。
对该林根域运行 Adsiedit.msc。
如果已经从“域”、“配置”或“系统”容器中删除了经过身份验证的用户的 ACE,则必须授予对该容器的只读权限,如以下步骤所述。
右键单击容器,然后单击**“属性”**。
单击**“安全”**选项卡。
单击**“高级”**。
在**“权限”选项卡上单击“添加”**。
使用下面的格式键入接收权限的用户或组的名称:
域\帐户名。单击**“确定”**。
在**“对象”选项卡上的“应用于”中单击“只是这个对象”**。
在**“权限”中,通过单击“允许”列选择下列允许 ACE:“列出内容”、“读取所有属性”和“读取权限”**。
单击**“确定”**两次。
对在步骤 2 中列出的所有相关容器重复这些步骤。