对于“计算机”、“用户”或“InetOrgPerson”容器禁用权限继承
上一次修改主题: 2009-04-24
在锁定的 Active Directory 域服务 (AD DS) 中,通常将用户对象和计算机对象放置在禁用了权限继承的特定组织单位 (OU) 中,以帮助确保管理委派的安全以及允许使用组策略对象 (GPO) 实施安全策略。
域准备和服务器激活操作会设置 Office Communications Server 2007 R2 所需的访问控制项 (ACE)。如果禁用了权限继承,Office Communications Server 安全组就无法继承这些 ACE。如果不继承这些权限,Office Communications Server 安全组就无法访问设置,并会产生以下两个问题:
- 为了管理用户、InetOrgPersons 和联系人以及对服务器进行操作,Office Communications Server 安全组要求域准备过程对每个用户的属性集(实时通信 (RTC)、RTC 用户搜索和公用信息)设置 ACE。如果禁用了权限继承,安全组将不会继承这些 ACE,因而无法管理服务器或用户。
- 为了发现服务器和池,Office Communications Server 服务器依赖于对计算机相关对象(包括 Microsoft 容器和服务器对象)的激活操作所设置的 ACE。如果禁用了权限继承,安全组、服务器和池将不会继承这些 ACE,因而也无法利用这些 ACE。
为了解决这些问题,Office Communications Server 另外提供了一个称为 CreateLcsOuPermissions 的 Active Directory 准备过程,通过 LcsCmd.exe 命令行工具可使用此过程。此过程直接对指定容器和该容器内的对象设置所需的 Office Communications Server ACE。
在运行域准备之后为用户、InetOrgPerson 和联系对象设置权限
在禁用了权限继承的锁定的 Active Directory 环境中,域准备无法对容纳域中用户或 InetOrgPerson 对象的容器设置必要的 ACE。在这种情况下,必须对禁用了其权限继承的容纳用户或 InetOrgPerson 对象的每个容器运行带有 CreateLcsOuPermissions 操作的 LcsCmd.exe。如果拥有中央林拓扑,则还必须对容纳联系对象的容器执行此过程。(有关中央林拓扑的详细信息,请参阅支持的 Active Directory 拓扑。)/objecttype 参数指定对象类型。
此过程直接对指定容器和该容器内的用户或 InetOrgPerson 对象添加所需的 ACE。
必须具有与 DomainAdmins 组成员身份同等的用户权限才能执行此过程。如果在锁定的环境中还已删除了经过身份验证的用户的 ACE,则必须向此帐户授予对林根域中相关容器的读取访问 ACE(如删除了经过身份验证的用户的权限所述),或使用 EnterpriseAdmins 组成员的帐户。
为用户、InetOrgPerson 和联系对象设置所需的 ACE
以 DomainAdmins 组成员的帐户或具有同等用户权限的帐户登录到加入域的计算机。
打开命令提示符,然后运行:
LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CreateLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:<type of object to create Office Communications Server ACEs for – user, InetOrgPerson, contact, AppContact>例如:
LcsCmd.exe /domain /action:CreateLcsOuPermissions /ou:”OU=usersOU” /objectType:user在日志文件中,在每项任务结束时查找**“<成功>”**的执行结果,以确认设置了权限,然后关闭日志窗口。或者,可以运行以下命令确定是否设置了权限:
LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CheckLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:<type of object – user, InetOrgPerson, contact, AppContact
在运行域准备之后为计算机对象设置权限
在禁用了权限继承的锁定的 Active Directory 环境中,域准备无法对容纳域中计算机对象的容器设置必要的 ACE。在这种情况下,必须对具有运行 Office Communications Server 且禁用了权限继承的计算机的每个容器运行带有 CreateLcsOuPermissions 操作的 LcsCmd.exe。由**/objecttype** 参数指定对象类型。
此过程将在指定的容器上直接添加所需的 ACE。
必须具有与 DomainAdmins 组成员身份同等的用户权限才能执行此过程。如果还已删除了经过身份验证的用户的 ACE,则必须向此帐户授予对林根域中相关容器的读取访问 ACE(如删除了经过身份验证的用户的权限所述),或使用 EnterpriseAdmins 组成员的帐户。
为计算机对象设置所需的 ACE
以 DomainAdmins 组成员的帐户或具有同等用户权限的帐户登录到域计算机。
打开命令提示符,然后运行:
LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CreateLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>例如:
LcsCmd.exe /domain:resources.corp.woodgrovebank.com /action:CreateLcsOuPermissions /ou:”OU=computersOU” /objectType:computer在日志文件中,在每项任务结束时查找**“<成功>”**的执行结果,并确认没有错误,然后关闭日志。或者,可以运行以下命令确定是否设置了权限:
LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CheckLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>.gif "Dd441161.note(zh-cn,office.13).gif")
注意:请注意,如果在锁定的 Active Directory 环境中的林根域上运行域准备,则 Office Communications Server 需要具有对 Active Directory 的“架构”和“配置”容器的访问权限。
如果从 AD DS 中的“架构”或“配置”容器中删除了经过身份验证的默认用户权限,则只允许 Schema Admins 或 EnterpriseAdmins 组的成员访问此容器。由于 Setup.exe、LcsCmd.exe 和管理单元需要具有对这些容器的访问权限,因此除非运行安装的用户具有与 Schema Admins 和 EnterpriseAdmins 组成员身份等效的用户权限,否则管理工具的设置和安装将失败。
要解决此问题,必须向 RTCUniversalGlobalReadOnly 组授予对架构和配置容器的访问权限。