Lync Server Panel de control devuelve el error "Derechos de acceso insuficientes para realizar la operación" al intentar mover un usuario o habilitar el comando de usuario.

Síntomas

Cuando se usa el Panel de control de Lync Server para habilitar o mover una instancia de Active Directory, se devuelve el siguiente error al usuario de dominio del servicio de directorio para su uso con Lync Server:

Error en la operación de Active Directory en "DC1.contoso.com". No se puede volver a intentar esta operación: "Derechos de acceso insuficientes para realizar la operación"

Causa

El error que se describe en la sección SÍNTOMAS de este artículo se debe a la combinación de las dos razones siguientes:

• La cuenta de usuario que forma parte de la operación de movimiento o habilitación de Lync Server es miembro de un grupo de seguridad de dominio protegido por el servicio de directorio de Active Directory. Dado que la cuenta de usuario pertenece a un grupo de seguridad de dominio protegido de Windows Server, no puede mantener los grupos RTCUniversalUserAdmins y RTCUniversalUserReadOnlyGroup Lync Server Universal Security y sus permisos como entradas Access Control (ACE) para la lista de Access Control predeterminada del grupo de seguridad de dominio protegido (ACL).
• El Panel de control de Lync Server no está diseñado para delegar los permisos de RTCUniversalUserAdmins y RTCUniversalUserReadOnlyGroup Lync Server Universal Security que son necesarios para completar la operación de movimiento o habilitación de la cuenta de usuario.

Solución

Use el shell de administración de Lync Server para administrar los siguientes cmdlets de PowerShell de Lync Server para realizar la habilitación de la cuenta de usuario de las operaciones de traslado:

1. Enable-CsUser -Identity "Bill Anderson" -RegistrarPool "pool01.contoso.com" -SipAddressType EmailAddress -SipDomain contoso.com

   • Para ver una lista de ejemplos del uso del cmdlet de PowerShell de Enable-CsUser Lync Server, use el Shell de administración de Lync y escriba el siguiente cmdlet de PowerShell: Get-Help Enable-CsUser -Examples

2. Move-CsUser -Identity "Bill Anderson" -Target "pool01.contoso.com"

   • Para ver una lista de ejemplos del uso del cmdlet de PowerShell de Move-CsUser Lync Server, use el Shell de administración de Lync y escriba el siguiente cmdlet de PowerShell: Get-Help Move-CsUser -Example

3. Move-CsLegacyUser -Identity "Bill Anderson" -Target "pool01.contoso.com"

   • Para ver una lista de ejemplos del uso del cmdlet de PowerShell de Move-CsLegacyUser Lync Server, use el Shell de administración de Lync y escriba el siguiente cmdlet de PowerShell: Get-Help Move-LegacyCsUser -Examples

Más información

Para obtener información más detallada sobre los permisos necesarios para usar el Panel de control de Lync Server y cómo usar el Panel de control de Lync Server para agregar Active Directory, los usuarios del servicio de directorio al grupo de Lync Server revise la siguiente información:

Habilitar o deshabilitar usuarios para Lync Server

Windows Server Active Directory, los grupos de seguridad del servicio de directorio que son grupos protegidos designados bloquearán la herencia de entradas de Access Control (ACE) no predeterminadas a su lista de Access Control (ACL) predeterminada como medida de seguridad. Los grupos protegidos de Windows Server constan de la lista de grupos administrativos predeterminados que se usan para administrar la empresa de Windows Server.

El vínculo que se muestra a continuación proporciona los detalles de los procesos que se usan para administrar el nivel predeterminado de seguridad de los grupos de seguridad protegidos por Windows Server:

AdminSDHolder, grupos protegidos y SDPROP para Windows Server

Para obtener información más detallada sobre el uso de los cmdlets Enable-CsUser, Move-CsUser y Move-CsLegacyUser Lync Server PowerShell, revise la siguiente información de Microsoft TechNet:

• Enable-CsUser

• Move-CsUser

• Move-CsLegacyUser

¿Aún necesita ayuda? Visite Comunidad Microsoft.