認証済みユーザーのアクセス許可が削除されている
トピックの最終更新日: 2009-01-23
ロックダウンされた Active Directory ドメイン サービス (AD DS) 環境では、認証済みユーザーのアクセス制御エントリ (ACE) が既定の Active Directory コンテナ (ユーザー、構成、またはシステム)、およびユーザー オブジェクトとコンピュータ オブジェクトが格納されている組織単位 (OU) から削除されています。認証済みユーザーの ACE を削除すると、Active Directory 情報への読み取りアクセスを防ぐことができます。ただし、ACE を削除すると、Office Communications Server で問題が発生します。Office Communications Server では、これらのコンテナへの読み取りアクセス許可がないと、ユーザーがドメインの準備を実行できないためです。
この状況では、ドメインの準備、サーバーのアクティブ化、およびプールの作成を実行するのに必要な DomainAdmins グループのメンバシップに対して、既定のコンテナに格納されている Active Directory 情報への読み取りアクセスが許可されません。前提条件となるフォレストの準備の手順が完了したかどうかを確認するには、フォレストのルート ドメイン内のさまざまなコンテナに対する読み取りアクセス許可を手動で与える必要があります。
ユーザーがフォレスト以外のルート ドメインでドメインの準備、サーバーのアクティブ化、またはプールの作成を実行できるようにするには、次のいずれかの方法を使用します。
- EnterpriseAdmins グループのメンバであるアカウントを使用して、ドメインの準備を実行する。
- DomainAdmins グループのメンバであるアカウントを使用し、フォレストのルート ドメイン内の次の各コンテナに対する読み取りアクセス許可をこのアカウントに与える。
- ドメイン
- 構成またはシステム
ドメインの準備またはその他のセットアップ タスクを実行する際に、EnterpriseAdmins グループのメンバであるアカウントを使用しない場合は、フォレストのルート内の該当のコンテナに対する読み取りアクセスを、使用するアカウントに明示的に許可します。
フォレストのルート ドメイン内のコンテナに対する読み取りアクセス許可をユーザーに与えるには
フォレストのルート ドメインの DomainAdmins グループのメンバであるアカウントを使用して、このドメインに参加しているコンピュータにログオンします。
フォレストのルート ドメインに対して adsiedit.msc を実行します。
認証済みユーザーの ACE がドメイン コンテナ、構成コンテナ、またはシステム コンテナから削除されている場合は、次のステップに従って、そのコンテナに対する読み取り専用アクセス許可を与える必要があります。
コンテナを右クリックし、[プロパティ] をクリックします。
[セキュリティ] タブをクリックします。
[詳細設定] をクリックします。
[アクセス許可] タブで [追加] をクリックします。
アクセス許可を与えるユーザーまたはグループの名前を、"ドメイン\アカウント名" の形式で入力します
[OK] をクリックします。
[オブジェクト] タブの [適用対象] で [このオブジェクトのみ] をクリックします。
[アクセス許可] で [許可] 列をクリックして、[コンテンツの一覧表示]、[すべてのプロパティの読み取り]、および [読み取りアクセス許可] を、許可する ACE として選択します。
[OK] を 2 回クリックします。
ステップ 2. でリストアップした該当するすべてのコンテナについて、上記のステップを繰り返します。