Lync Server Panneau de configuration renvoie l’erreur « Droits d’accès insuffisants pour effectuer l’opération » lors de la tentative de déplacement d’un utilisateur ou d’activation de la commande utilisateur

  • Article
  • S’applique à:
    Lync Server 2010 Enterprise Edition, Lync Server 2010 Standard Edition, Lync Server 2013

Symptômes

Lorsque vous utilisez lync Server Panneau de configuration pour activer ou déplacer un utilisateur de domaine de service d’annuaire Active Directory à utiliser avec Lync Server, l’erreur suivante est retournée :

L’opération Active Directory a échoué sur « DC1.contoso.com ». Vous ne pouvez pas réessayer cette opération : « Droits d’accès insuffisants pour effectuer l’opération »

Cause

L’erreur décrite dans la section SYMPTÔMES de cet article est due à la combinaison des deux raisons suivantes :

  • Le compte d’utilisateur qui fait partie de l’opération de déplacement ou d’activation de Lync Server est membre d’un groupe de sécurité de domaine protégé par le service d’annuaire Active Directory. Étant donné que le compte d’utilisateur appartient à un groupe de sécurité de domaine protégé par Windows Server, il ne peut pas conserver les groupes de sécurité universelle Lync Server RTCUniversalUserAdmins et RTCUniversalUserReadOnlyGroup et leurs autorisations en tant qu’entrées Access Control (ACE) pour la liste de Access Control (ACL) du groupe de sécurité de domaine protégé par défaut.
  • Le Panneau de configuration Lync Server n’est pas conçu pour déléguer les autorisations des groupes de sécurité universelle Lync Server RTCUniversalUserAdmins et RTCUniversalUserReadOnlyGroup nécessaires pour terminer le déplacement ou activer l’opération du compte d’utilisateur.

Remarque

Par exemple, le groupe de sécurité global Administrateurs du domaine est un groupe protégé par Windows Server. Pour plus d’informations sur les groupes de sécurité protégés par Windows Server et les processus de service d’annuaire Active Directory qui conservent leurs entrées de liste de Access Control par défaut, consultez la section INFORMATIONS SUPPLÉMENTAIRES de cet article.

Résolution

Utilisez l’interpréteur de commandes Lync Server Management pour administrer les applets de commande Lync Server PowerShell suivantes afin d’effectuer l’activation des opérations de déplacement du compte d’utilisateur :

Remarque

Des autorisations équivalentes au groupe RTCUniversalUserAmins sont requises pour utiliser correctement les applets de commande PowerShell Enable-CsUser, Move-CsUser Move-CsLegacyuser Lync Server.

  1. Enable-CsUser -Identity « Bill Anderson » -RegistrarPool « pool01.contoso.com » -SipAddressType EmailAddress -SipDomain contoso.com

    • Pour afficher une liste d’exemples d’utilisation de l’applet de commande PowerShell Enable-CsUser Lync Server, utilisez Lync Management Shell et entrez l’applet de commande PowerShell suivante : Get-Help Enable-CsUser -Examples

  2. Move-CsUser -Identity « Bill Anderson » -Target « pool01.contoso.com »

    • Pour afficher une liste d’exemples d’utilisation de l’applet de commande PowerShell Move-CsUser Lync Server, utilisez Lync Management Shell et entrez l’applet de commande PowerShell suivante : Get-Help Move-CsUser -Exemple

  3. Move-CsLegacyUser -Identity « Bill Anderson » -Target « pool01.contoso.com »

    • Pour afficher une liste d’exemples d’utilisation de l’applet de commande PowerShell Move-CsLegacyUser Lync Server, utilisez Lync Management Shell et entrez l’applet de commande PowerShell suivante : Get-Help Move-LegacyCsUser -Examples

Informations supplémentaires

Pour plus d’informations sur les autorisations nécessaires à l’utilisation de l’Panneau de configuration Lync Server et sur l’utilisation du Panneau de configuration Lync Server pour ajouter des utilisateurs du service d’annuaire Active Directory au pool Lync Server, consultez les informations suivantes :

Activer ou désactiver des utilisateurs pour Lync Server

Windows Server Active Directory, les groupes de sécurité de service d’annuaire désignés groupes protégés bloquent l’héritage des entrées de Access Control (ACL) non par défaut à leur liste de Access Control (ACL) par défaut en tant que mesure de sécurité. Les groupes protégés par Windows Server se composent de la liste des groupes d’administration par défaut utilisés pour gérer l’entreprise Windows Server.

Le lien listé ci-dessous fournit les détails des processus utilisés pour gérer le niveau de sécurité par défaut pour les groupes de sécurité protégés par Windows Server :

AdminSDHolder, groupes protégés et SDPROP pour Windows Server

Pour plus d’informations sur l’utilisation des applets de commande PowerShell Enable-CsUser, Move-CsUser et Move-CsLegacyUser Lync Server, consultez les informations Microsoft TechNet suivantes :

Encore besoin d’aide ? Accédez à Microsoft Community.