Lync Server 2013 中权限继承在计算机、用户或 InetOrgPerson 容器上被禁用
上次修改的主题: 2014-12-19
在锁定Active Directory 域服务中,用户和计算机对象通常放置在特定组织单位 (禁用了权限继承的 OU) ,以帮助保护管理委派,并允许使用 组策略 (GPO) (对象来强制实施安全策略。
域准备和服务器激活 (Lync Server 2013 所需的 ACE) 设置访问控制条目。 禁用权限继承后,Lync Server 安全组无法继承这些 AME。 如果这些权限未继承,Lync Server 安全组将无法访问设置,并出现以下两个问题:
为了管理用户、InetOrgPersons 和联系人以及操作服务器,Lync Server 安全组需要每个用户属性集的域准备过程设置的 AES、实时通信 (RTC) 、RTC 用户搜索和公共信息。 禁用权限继承后,安全组不会继承这些 AME,也不能管理服务器或用户。
若要发现服务器和池,运行 Lync Server 的服务器依赖于通过激活计算机相关对象(包括 Microsoft 容器和服务器对象)设置的 AES。 禁用权限继承后,安全组、服务器和池不会继承这些 AES,也不能利用这些 AME。
为了解决这些问题,Lync Server 提供了 Grant-CsOuPermission cmdlet。 此 cmdlet 直接在指定的容器和组织单位以及容器或组织单元中的对象上设置所需的 Lync Server AES。
在运行域准备后为用户、InetOrgPerson 和联系人对象设置权限
在禁用了权限继承的锁定 Active Directory 环境中,域准备不会对域内包含用户或 InetOrgPerson 对象的容器或组织单位设置必要的 AES。 在这种情况下,必须在每个容器或 OU 上运行 Grant-CsOuPermission cmdlet,这些容器或 OU 具有禁用了权限继承的 User 或 InetOrgPerson 对象。 如果有中央林拓扑,还必须在保存联系人对象的容器或 OU 上执行此过程。 有关中央林拓扑的详细信息,请参阅支持性文档 中的 Lync Server 2013 中支持的 Active Directory 拓扑 。 ObjectType 参数指定对象类型。 OU 参数指定组织单位。
此 cmdlet 直接在容器内的指定容器或 OU 以及用户或 InetOrgPerson 对象上添加所需的 AES。 如果执行此命令的 OU 具有具有 User 或 InetOrgPerson 对象的子 OU,则不会对这些对象应用权限。 需要在每个子 OU 上单独运行该命令。 这是 Lync 托管部署的常见方案,例如父 OU=OCS 租户、DC=CONTOSO、DC=LOCAL 和子 OU=Tenant1、OU=OCS 租户、DC=CONTOSO、DC=LOCAL。
需要与域管理员组成员身份等效的用户权限才能运行此 cmdlet。 如果在锁定环境中也删除了经过身份验证的用户 ACE,则必须在林根域中的相关容器或 OU 上授予此帐户读取访问 ACE,如 Lync Server 2013 中 所述,或者使用企业管理员组成员的帐户。
设置用户、InetOrgPerson 和 Contact 对象所需的 AES
使用域管理员组的成员或具有等效用户权限的帐户登录到加入域的计算机。
启动 Lync Server Management Shell:单击 “开始”,单击 “所有程序”,单击 Microsoft Lync Server 2013,然后单击 Lync Server Management Shell。
运行:
Grant-CsOuPermission -ObjectType <User | Computer | InetOrgPerson | Contact | AppContact | Device> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]如果未指定域参数,则默认值为本地域。
例如:
Grant-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net"在日志文件中,查找<>每个任务末尾的成功执行结果,以验证是否设置了权限,然后关闭日志窗口。 或者,可以运行以下命令来确定是否设置了权限:
Test-CsOuPermission -ObjectType <type of object> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>] [-Report <fully qualified path and name of file to create>]例如:
Test-CsOuPermission -ObjectType "User" -OU "cn=Redmond,dc=contoso,dc=net" -Domain "contoso.net" -Report "C:\Log\OUPermissionsTest.html"
在运行域准备后设置计算机对象的权限
在禁用权限继承的锁定 Active Directory 环境中,域准备不会在包含域中的计算机对象的容器或 OU 上设置必要的 AES。 在这种情况下,必须在每个容器或 OU 上运行 Grant-CsOuPermission cmdlet,这些容器或 OU 的计算机运行 Lync Server,其中禁用了权限继承。 ObjectType 参数指定对象类型。
此过程直接在指定容器上添加所需的 AES。
需要与域管理员组成员身份等效的用户权限才能运行此 cmdlet。 如果还删除了经过身份验证的用户 ACE,则必须在林根域中的相关容器上授予此帐户读取访问 ACE,如 Lync Server 2013 中删除经过身份验证的用户权限中 所述,或者使用属于企业管理员组成员的帐户。
为计算机对象设置所需的 AES
使用作为域管理员组成员或具有等效用户权限的帐户登录到域计算机。
启动 Lync Server Management Shell:单击 “开始”,单击 “所有程序”,单击 Microsoft Lync Server 2013,然后单击 Lync Server Management Shell。
运行:
Grant-CsOuPermission -ObjectType <Computer> -OU <DN name for the computer OU container relative to the domain root container DN> [-Domain <Domain FQDN>][-Report <fully qualified path and name of output report>]如果未指定域参数,则默认值为本地域。
例如:
Grant-CsOuPermission -ObjectType "Computer" -OU "ou=Lync Servers,dc=litwareinc,dc=com" -Report "C:\Logs\OUPermissions.xml"在示例日志文件C:\Logs\OUPermissions.xml中,将在每个任务的末尾查找 <“成功> 执行结果”,并验证是否不存在错误,然后关闭日志。 可以运行以下 cmdlet 来测试权限:
Test-CsOuPermission -ObjectType <type of object> -OU <DN name for the OU container relative to the domain root container DN> [-Domain <Domain FQDN>]例如:
Test-CsOuPermission -ObjectType "user","contact" -OU "cn=Bellevue,dc=contoso,dc=net" -Domain "contoso.net"注意
如果在锁定的 Active Directory 环境中的林根域上运行域准备,请注意 Lync Server 需要访问 Active Directory 架构和配置容器。
如果从 AD DS 中的架构或配置容器中删除了默认经过身份验证的用户权限,则仅允许架构容器) 或企业管理员组 (的成员 (配置容器) 访问给定的容器。 由于 Setup.exe、Lync Server Management Shell cmdlet 和 Lync Server 控制面板需要访问这些容器,因此,除非运行安装的用户具有等效于架构管理员和企业管理员组成员身份的用户权限,否则管理工具的安装和安装将失败。
若要解决这种情况,必须授予 RTCUniversalGlobalWriteGroup 组对架构和配置容器的读取、写入访问权限。