pogo
04-10-2013, 09:06
Доброго времени суток!
Проблема в следующем, есть сервер на win2012, на котором поднят Lync, есть сервер на win2008R2, на котором поднят котроллер дома.
Есть скрипт, написанный на powershell, который отключает (удаляет) пользователей находящихся в определённом OU из Lync.
Собственно скрипт, убирая все проверки и прочие вещи, состоит из 2х командлетов:
Get-CsUser -OU "OU=Test,DC=example,DC=ru" | Disable-CsUserТак вот проблема в следующем, мне не очень хочется давать учётке, например execScript, права доменного админа, что бы скрипт мог корректно отработать.
Подскажите пожалуйста, какие права (в какие группы) надо добавить учётку, что бы скрипт нормально выполнятся, т.е.
учётка могла обратиться к AD, для просмотра нужного OU и потом в самом Lync выполнить отключение?
Я вначале по логике пробовал добавлять в группы CsUserAdmin и RTCUniversalUserAdmins, но согласно описаниям 1ая группа даёт нам право на управление пользователями в Lync, а 2-ая в AD.
К сожалению это не работает.
В логах появляется такая ошибка: "Active Directory operation failed on "dc.example.ru". You cannot retry this operation: "Insufficient access rights to perform the operation 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0"
Погуглил ошибку, нашёл примерно следующее, причём на нескольких сайтах:
"Go to Active Directory Users and Computers (with Advanced Features turned on in the View Menu), then go to Properties on the User that you can’t enable on Lync, and in the Security tab, click on Advanced.
Then check “Include Inheritable Permissions from this object’s parent“, accept and the problem will be instantly solved. Now you are able to add the user in Lync.". Посмотрел, у пользователя данная галочка стоит.
Подскажите пожалуйста, как решить данную проблему?
Проблема в следующем, есть сервер на win2012, на котором поднят Lync, есть сервер на win2008R2, на котором поднят котроллер дома.
Есть скрипт, написанный на powershell, который отключает (удаляет) пользователей находящихся в определённом OU из Lync.
Собственно скрипт, убирая все проверки и прочие вещи, состоит из 2х командлетов:
Get-CsUser -OU "OU=Test,DC=example,DC=ru" | Disable-CsUserТак вот проблема в следующем, мне не очень хочется давать учётке, например execScript, права доменного админа, что бы скрипт мог корректно отработать.
Подскажите пожалуйста, какие права (в какие группы) надо добавить учётку, что бы скрипт нормально выполнятся, т.е.
учётка могла обратиться к AD, для просмотра нужного OU и потом в самом Lync выполнить отключение?
Я вначале по логике пробовал добавлять в группы CsUserAdmin и RTCUniversalUserAdmins, но согласно описаниям 1ая группа даёт нам право на управление пользователями в Lync, а 2-ая в AD.
К сожалению это не работает.
В логах появляется такая ошибка: "Active Directory operation failed on "dc.example.ru". You cannot retry this operation: "Insufficient access rights to perform the operation 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0"
Погуглил ошибку, нашёл примерно следующее, причём на нескольких сайтах:
"Go to Active Directory Users and Computers (with Advanced Features turned on in the View Menu), then go to Properties on the User that you can’t enable on Lync, and in the Security tab, click on Advanced.
Then check “Include Inheritable Permissions from this object’s parent“, accept and the problem will be instantly solved. Now you are able to add the user in Lync.". Посмотрел, у пользователя данная галочка стоит.
Подскажите пожалуйста, как решить данную проблему?