Lync Server Systemsteuerung gibt den Fehler "Unzureichende Zugriffsrechte zum Ausführen des Vorgangs" zurück, wenn versucht wird, einen Benutzer zu verschieben oder den Benutzer zu aktivieren.

  • Artikel
  • Gilt für::
    Lync Server 2010 Enterprise Edition, Lync Server 2010 Standard Edition, Lync Server 2013

Symptome

Wenn Sie die Lync Server-Systemsteuerung zum Aktivieren oder Verschieben eines Active Directory-Verzeichnisdienstdomänenbenutzers für die Verwendung mit Lync Server verwenden, wird der folgende Fehler zurückgegeben:

Fehler beim Active Directory-Vorgang für "DC1.contoso.com". Sie können diesen Vorgang nicht wiederholen: "Unzureichende Zugriffsrechte zum Ausführen des Vorgangs"

Ursache

Der im Abschnitt SYMPTOME dieses Artikels beschriebene Fehler wird durch die Kombination der folgenden beiden Gründe verursacht:

  • Das Benutzerkonto, das Teil des Lync Server-Verschiebungs- oder Aktivierungsvorgangs ist, ist Mitglied einer durch Den Active Directory-Verzeichnisdienst geschützten Domänensicherheitsgruppe. Da das Benutzerkonto zu einer durch Windows Server geschützten Domänensicherheitsgruppe gehört, kann es die Gruppen RTCUniversalUserAdmins und RTCUniversalUserReadOnlyGroup von Lync Server Universal Security und deren Berechtigungen nicht als Access Control Einträge (ACEs) für die Standard-Access Control List (ACL) der geschützten Domänensicherheitsgruppe beibehalten.
  • Die Lync Server-Systemsteuerung ist nicht für das Delegieren der Berechtigungen von RTCUniversalUserAdmins und RTCUniversalUserReadOnlyGroup Lync Server Universal Security-Gruppen konzipiert, die zum Abschließen des Verschiebungs- oder Aktivierungsvorgangs des Benutzerkontos erforderlich sind.

Hinweis

Beispielsweise ist die globale Sicherheitsgruppe Domänenadministratoren eine durch Windows Server geschützte Gruppe. Ausführliche Informationen zu den durch Windows Server geschützten Sicherheitsgruppen und active Directory sowie zu Verzeichnisdienstprozessen, die ihre Standardlisteneinträge Access Control verwalten, finden Sie im Abschnitt WEITERE INFORMATIONEN dieses Artikels.

Lösung

Verwenden Sie die Lync Server-Verwaltungsshell, um die folgenden Lync Server PowerShell-Cmdlets zu verwalten, um die Aktivierung von Verschiebungsvorgängen für das Benutzerkonto durchzuführen:

Hinweis

Berechtigungen, die der Gruppe RTCUniversalUserAmins entsprechen, sind erforderlich, um die PowerShell-Cmdlets Enable-CsUser, Move-CsUser Move-CsLegacyuser Lync Server erfolgreich verwenden zu können.

  1. Enable-CsUser -Identity "Bill Anderson" -RegistrarPool "pool01.contoso.com" -SipAddressType EmailAddress -SipDomain contoso.com

    • Um eine Liste von Beispielen für die Verwendung des Enable-CsUser Lync Server PowerShell-Cmdlets anzuzeigen, verwenden Sie die Lync-Verwaltungsshell, und geben Sie das folgende PowerShell-Cmdlet ein: Get-Help Enable-CsUser -Examples

  2. Move-CsUser -Identity "Bill Anderson" -Target "pool01.contoso.com"

    • Um eine Liste von Beispielen für die Verwendung des Move-CsUser Lync Server PowerShell-Cmdlets anzuzeigen, verwenden Sie die Lync-Verwaltungsshell, und geben Sie das folgende PowerShell-Cmdlet ein: Get-Help Move-CsUser -Example

  3. Move-CsLegacyUser -Identity "Bill Anderson" -Target "pool01.contoso.com"

    • Um eine Liste von Beispielen für die Verwendung des Move-CsLegacyUser Lync Server PowerShell-Cmdlets anzuzeigen, verwenden Sie die Lync-Verwaltungsshell, und geben Sie das folgende PowerShell-Cmdlet ein: Get-Help Move-LegacyCsUser -Examples

Weitere Informationen

Ausführlichere Informationen zu den Berechtigungen, die für die Verwendung des Lync Server-Systemsteuerung erforderlich sind, und zur Verwendung der Lync Server-Systemsteuerung zum Hinzufügen von Active Directory-Verzeichnisdienstbenutzern zum Lync Server-Pool finden Sie in den folgenden Informationen:

Aktivieren oder Deaktivieren von Benutzern für Lync Server

Windows Server Active Directory blockieren Verzeichnisdienstsicherheitsgruppen, bei denen es sich um geschützte Gruppen handelt, als Sicherheitsmaßnahme die Vererbung von nicht standardmäßigen Access Control Entries (ACEs) an ihre standardbasierte Access Control List (ACL). Geschützte Windows Server-Gruppen bestehen aus der Liste der standardmäßigen administrativen Gruppen, die zum Verwalten des Windows Server-Unternehmens verwendet werden.

Der unten aufgeführte Link enthält die Details der Prozesse, die zum Verwalten der Standardsicherheitsstufe für die durch Windows Server geschützten Sicherheitsgruppen verwendet werden:

AdminSDHolder, Geschützte Gruppen und SDPROP für Windows Server

Ausführlichere Informationen zur Verwendung der PowerShell-Cmdlets Enable-CsUser, Move-CsUser und Move-CsLegacyUser Lync Server finden Sie in den folgenden Microsoft TechNet-Informationen:

Benötigen Sie weitere Hilfe? Navigieren Sie zu Microsoft Community.