• [アーティクル]

認証済みユーザーのアクセス許可が削除されている

 

トピックの最終更新日: 2010-10-17

ロックダウンされた Active Directory 環境では、認証済みユーザーのアクセス制御エントリ (ACE) が既定の Active Directory コンテナー (ユーザー、構成、またはシステム)、およびユーザー オブジェクトとコンピューター オブジェクトが格納されている組織単位 (OU) から削除されています。 認証済みユーザーの ACE を削除すると、Active Directory 情報への読み取りアクセスを防ぐことができます。 ただし、ACE を削除すると、Lync Server 2010 で問題が発生します。これらのコンテナーへの読み取りアクセス許可がないと、ユーザーがドメインの準備を実行できないためです。

この状況では、ドメインの準備、サーバーのアクティブ化、およびプールの作成を実行するのに必要な Domain Admins グループのメンバーシップに対して、既定のコンテナーに格納されている Active Directory 情報への読み取りアクセスが許可されません。前提条件となるフォレストの準備の手順が完了したかどうかを確認するには、フォレストのルート ドメイン内のさまざまなコンテナーに対する読み取りアクセス許可を手動で与える必要があります。

ユーザーがフォレスト以外のルート ドメインでドメインの準備、サーバーのアクティブ化、またはプールの作成を実行できるようにするには、次のいずれかの方法を使用します。

  • Enterprise Admins グループのメンバーであるアカウントを使用して、ドメインの準備を実行する。

  • Domain Admins グループのメンバーであるアカウントを使用し、フォレストのルート ドメイン内の次の各コンテナーに対する読み取りアクセス許可をこのアカウントに与える。

    • ドメイン

    • 構成またはシステム

ドメインの準備またはその他のセットアップ タスクを実行する際に、Enterprise Admins グループのメンバーであるアカウントを使用しない場合は、フォレストのルート内の該当のコンテナーに対する読み取りアクセスを、使用するアカウントに明示的に許可します。

フォレストのルート ドメイン内のコンテナーに対する読み取りアクセス許可をユーザーに与えるには

  1. フォレストのルート ドメインの Domain Admins グループのメンバーであるアカウントを使用して、このドメインに参加しているコンピューターにログオンします。

  2. フォレストのルート ドメインに対して adsiedit.msc を実行します。

    認証済みユーザーの ACE がドメイン コンテナー、構成コンテナー、またはシステム コンテナーから削除されている場合は、次のステップに従って、そのコンテナーに対する読み取り専用アクセス許可を与える必要があります。

  3. コンテナーを右クリックし、[プロパティ] をクリックします。

  4. [セキュリティ] タブをクリックします。

  5. [詳細設定] をクリックします。

  6. [アクセス許可] タブで [追加] をクリックします。

  7. アクセス許可を与えるユーザーまたはグループの名前を "ドメイン\アカウント名" の形式で入力し、[OK] をクリックします。

  8. [オブジェクト] タブの [適用先][このオブジェクトのみ] をクリックします。

  9. [アクセス許可][許可] 列をクリックして、 [コンテンツの一覧表示][すべてのプロパティの読み取り]、および [読み取りアクセス許可] を、許可する ACE として選択します。

  10. [OK] を 2 回クリックします。

  11. ステップ 2. でリストアップした該当するすべてのコンテナーについて、上記のステップを繰り返します。