Lync Server コントロール パネルは、ユーザーの移動またはユーザーの有効化コマンドを試みると、"操作を実行するためのアクセス権が不足しています" というエラーを返します

  • [アーティクル]
  • 適用対象:
    Lync Server 2010 Enterprise Edition, Lync Server 2010 Standard Edition, Lync Server 2013

現象

Lync Server コントロール パネルを使用して Active Directory を有効または移動すると、Lync Server で使用するディレクトリ サービス ドメイン ユーザーに次のエラーが返されます。

"DC1.contoso.com" で Active Directory 操作が失敗しました。 "操作を実行するためのアクセス権が不足しています" という操作を再試行することはできません。

原因

この記事の「SYMPTOMS」セクションで説明されているエラーは、次の 2 つの理由の組み合わせによって発生します。

  • Lync Server の移動または有効化操作の一部であるユーザー アカウントは、Active Directory、ディレクトリ サービスで保護されたドメイン セキュリティ グループのメンバーです。 ユーザー アカウントは Windows Server で保護されたドメイン セキュリティ グループに属しているため、RTCUniversalUserAdmins と RTCUniversalUserReadOnlyGroup Lync Server ユニバーサル セキュリティ グループとそのアクセス許可を、保護されたドメイン セキュリティ グループの既定のAccess Controlリスト (ACL) のAccess Control エントリ (ACE) として保持することはできません。
  • Lync Server コントロール パネルは、ユーザー アカウントの移動または有効化操作を完了するために必要な RTCUniversalUserAdmins と RTCUniversalUserReadOnlyGroup Lync Server ユニバーサル セキュリティ グループのアクセス許可を委任するようには設計されていません。

注:

たとえば、Domain Admins グローバル セキュリティ グループは Windows Server で保護されたグループです。 Windows Server で保護されたセキュリティ グループと Active Directory の詳細については、既定のAccess Controlリスト エントリを保持するディレクトリ サービス プロセスについては、この記事の「詳細情報」セクションを参照してください。

解決方法

Lync Server 管理シェルを使用して、次の Lync Server PowerShell コマンドレットを管理して、移動操作のユーザー アカウント有効化を実行します。

注:

Enable-CsUser、Move-CsUser、Move-CsLegacyuser Lync Server PowerShell コマンドレットを正常に使用するには、RTCUniversalUserAmins グループと同等のアクセス許可が必要です。

  1. Enable-CsUser -Identity "Bill Anderson" -RegistrarPool "pool01.contoso.com" -SipAddressType EmailAddress -SipDomain contoso.com

    • Enable-CsUser Lync Server PowerShell コマンドレットの使用例の一覧を表示するには、Lync 管理シェルを使用し、次の PowerShell コマンドレットを入力します: Get-Help Enable-CsUser -Examples

  2. Move-CsUser -Identity "Bill Anderson" -Target "pool01.contoso.com"

    • Move-CsUser Lync Server PowerShell コマンドレットの使用例の一覧を表示するには、Lync Management Shell を使用し、次の PowerShell コマンドレットを入力します: Get-Help Move-CsUser -Example

  3. Move-CsLegacyUser -Identity "Bill Anderson" -Target "pool01.contoso.com"

    • Move-CsLegacyUser Lync Server PowerShell コマンドレットの使用例の一覧を表示するには、Lync 管理シェルを使用し、次の PowerShell コマンドレットを入力します: Get-Help Move-LegacyCsUser -Examples

詳細情報

Lync Server コントロール パネルを使用するために必要なアクセス許可の詳細と、Lync Server コントロール パネルを使用して Active Directory、ディレクトリ サービス ユーザーを Lync Server プールに追加する方法については、次の情報を確認してください。

Lync Server のユーザーを有効または無効にする

Windows Server Active Directory、保護されたグループが指定されているディレクトリ サービス セキュリティ グループは、セキュリティ対策として既定以外のAccess Control エントリ (ACL) を既定のAccess Controlリスト (ACL) に継承することをブロックします。 Windows Server で保護されたグループは、Windows Server エンタープライズの管理に使用される既定の管理グループの一覧で構成されます。

次に示すリンクは、Windows Server で保護されたセキュリティ グループのセキュリティの既定のレベルを管理するために使用されるプロセスの詳細を示しています。

AdminSDHolder、保護されたグループ、および Windows Server 用 SDPROP

Enable-CsUser、Move-CsUser、Move-CsLegacyUser Lync Server PowerShell コマンドレットの使用方法の詳細については、次の Microsoft TechNet 情報を確認してください。

さらにヘルプが必要ですか? Microsoft コミュニティを参照してください。