Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Раздача нужных прав

Ответить
Настройки темы
2008 R2 - [решено] Раздача нужных прав

Старожил


Сообщения: 208
Благодарности: 5

Профиль | Отправить PM | Цитировать

Изменения
Автор: pogo
Дата: 04-10-2013
Доброго времени суток!
Проблема в следующем, есть сервер на win2012, на котором поднят Lync, есть сервер на win2008R2, на котором поднят котроллер дома.
Есть скрипт, написанный на powershell, который отключает (удаляет) пользователей находящихся в определённом OU из Lync.
Собственно скрипт, убирая все проверки и прочие вещи, состоит из 2х командлетов:

Код: Выделить весь код
Get-CsUser -OU "OU=Test,DC=example,DC=ru" | Disable-CsUser
Так вот проблема в следующем, мне не очень хочется давать учётке, например execScript, права доменного админа, что бы скрипт мог корректно отработать.
Подскажите пожалуйста, какие права (в какие группы) надо добавить учётку, что бы скрипт нормально выполнятся, т.е.
учётка могла обратиться к AD, для просмотра нужного OU и потом в самом Lync выполнить отключение?

Я вначале по логике пробовал добавлять в группы CsUserAdmin и RTCUniversalUserAdmins, но согласно описаниям 1ая группа даёт нам право на управление пользователями в Lync, а 2-ая в AD.
К сожалению это не работает.

В логах появляется такая ошибка: "Active Directory operation failed on "dc.example.ru". You cannot retry this operation: "Insufficient access rights to perform the operation 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0"

Погуглил ошибку, нашёл примерно следующее, причём на нескольких сайтах:
Цитата:
"Go to Active Directory Users and Computers (with Advanced Features turned on in the View Menu), then go to Properties on the User that you can’t enable on Lync, and in the Security tab, click on Advanced.

Then check “Include Inheritable Permissions from this object’s parent“, accept and the problem will be instantly solved. Now you are able to add the user in Lync.".
Посмотрел, у пользователя данная галочка стоит.
Подскажите пожалуйста, как решить данную проблему?

Отправлено: 09:06, 04-10-2013

 
exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать

Цитата pogo:
в определённом OU из Lync. »
Цитата pogo:
учётке, например execScript, права доменного админа, что бы скрипт мог корректно отработать. »
например, делегируйте права этой учётке на нужную вам OU

-------
Вежливый клиент всегда прав!

Это сообщение посчитали полезным следующие участники:

Отправлено: 11:05, 04-10-2013 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Старожил


Сообщения: 208
Благодарности: 5

Профиль | Отправить PM | Цитировать

Можно чуток поподробнее, что кому надо делегировать?

Отправлено: 13:42, 04-10-2013 | #3

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать

http://www.youtube.com/watch?v=bsnlHJ1unRE

-------
Вежливый клиент всегда прав!

Отправлено: 13:44, 04-10-2013 | #4


Старожил


Сообщения: 208
Благодарности: 5

Профиль | Отправить PM | Цитировать

Спасибо.
Хорошо, с делегированием понятно, надо пользователю делегировать права на OU, но тогда такой вопрос, какие права надо делегировать, что бы решить вышеописанную проблему?

Отправлено: 21:03, 04-10-2013 | #5

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать

Цитата pogo:
какие права надо делегировать, что бы решить вышеописанную проблему? »
хороший вопрос...
Вам нужно только менять статус пользователя.
можно дать права на создание, изменение и удаление уч.записи, но это будет много. но намного меньше чем Domain Admins

-------
Вежливый клиент всегда прав!

Это сообщение посчитали полезным следующие участники:

Отправлено: 23:32, 04-10-2013 | #6



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Раздача нужных прав

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Актив Директори. Раздача прав удаленным пользователям. ProC Microsoft Windows NT/2000/2003 9 20-04-2012 10:20
Не отображает всех нужных пользователей agressive Хочу все знать 10 03-04-2012 11:55
Авто определение нужных драйверов. Mss Автоматическая установка Windows 2000/XP/2003 10 29-02-2008 13:36
Подключение сетевого диска и раздача прав в домене boolick Microsoft Windows NT/2000/2003 15 13-06-2007 09:20
Удаленная раздача прав на папку. Butunin Klim Microsoft Windows NT/2000/2003 2 08-12-2006 00:07


« Предыдущая тема | Следующая тема »


 
Переход