Le panneau de configuration de Lync Server 2010 renvoie l'erreur « Droits d'accès insuffisants pour effectuer cette opération » lorsque vous essayez de déplacer un utilisateur ou d'activer une commande utilisateur

Symptômes

Lors de l'utilisation du panneau de configuration de Lync Server 2010 afin d'activer ou de déplacer un utilisateur de domaine du service d'annuaire Active Directory en vue d'une utilisation avec Lync Server 2010, les erreurs suivantes sont renvoyées :

Échec de l'opération Active Directory sur « DC1.contoso.com ». Vous ne pouvez pas retenter cette opération : « Droits d'accès insuffisants pour effectuer cette opération »

Cause

L'erreur décrite dans la section SYMPTÔMES de cet article est causée par l'accumulation des deux conditions suivantes :

  • Le compte utilisateur concerné par l'opération de déplacement ou d'activation de Lync Server 2010 est membre d'un groupe de sécurité de domaine protégé du service d'annuaire Active Directory. Étant donné que le compte utilisateur appartient à un groupe de sécurité de domaine protégé, il est incapable de conserver les groupes universels de sécurité RTCUniversalUserAdmins et RTCuniversalUserReadOnlyGroup, ainsi que les autorisations d'entrées de contrôle d'accès à la liste de contrôle d'accès par défaut du groupe de sécurité de domaine protégé.
  • Le panneau de configuration de Lync Server 2010 n'est pas conçu pour déléguer les autorisations nécessaires au déplacement ou à l'activation du compte utilisateur.
Remarque : Pour obtenir des informations détaillées sur les groupes de sécurité protégés de Windows Server 2003 et Windows Server 2008, ainsi que sur les processus des services d'annuaire Active Directory qui conservent leurs entrées par défaut à la liste de contrôle d'accès, reportez-vous à la section PLUS D'INFORMATIONS de cet article.

Résolution

Lync Server Management Shell permet de gérer les applets de commande PowerShell de Lync Server 2010 et d'activer les opérations de déplacement du compte utilisateur :

  1. Enable-CsUser -Identity "Bill Anderson" -RegistrarPool "pool01.contoso.com" -SipAddressType EmailAddress  -SipDomain contoso.com

    • Pour afficher une liste d'exemples d'utilisation de l'applet de commande PowerShell Lync Server 2010 Enable-CsUser, utilisez Lync Management Shell et entrez l'applet de commande PowerShell suivante : Get-Help Enable-CsUser -Examples
  2. Move-CsUser -Identity "Bill Anderson" -Target "pool01.contoso.com"

    • Pour afficher une liste d'exemples d'utilisation de l'applet de commande PowerShell Lync Server 2010 Move-CsUser, utilisez Lync Management Shell et entrez l'applet de commande PowerShell suivante : Get-Help Move-CsUser -Example
  3. Move-CsLegacyUser -Identity "Bill Anderson" -Target "pool01.contoso.com"

    • Pour afficher une liste d'exemples d'utilisation de l'applet de commande PowerShell Lync Server 2010 Move-CsLegacyUser, utilisez Lync Management Shell et entrez l'applet de commande PowerShell suivante : Get-Help Move-LegacyCsUser -Examples

Plus d'informations

Pour obtenir des informations détaillées sur les autorisations nécessaires à l'utilisation du panneau de configuration de Lync Server 2010 et sur l'utilisation de ce panneau de configuration pour ajouter des utilisateurs du service d'annuaire Active Directory au pool Lync Server 2010, consultez les informations suivantes :

Activer ou désactiver des utilisateurs pour Lync Server 2010


Par mesure de sécurité, les groupes de sécurité du service d'annuaire Active Directory Windows Server 2003 et Windows Server 2008 désignés comme groupes protégés bloquent l'héritage des entrées de contrôle d'accès autre que celles par défaut à la liste de contrôle d'accès par défaut. Les groupes protégés Windows Server 2003 et Windows Server 2008 comprennent la liste des groupes administratifs par défaut utiles à la gestion de Windows Server Enterprise.

 Le lien ci-dessous fournit des informations détaillées sur les processus permettant de gérer le niveau de sécurité par défaut des groupes de sécurité protégés Windows Server 2003 et Windows Server 2008 :

AdminSDHolder, Groupes protégés et SDPROP pour Windows Server
Propriétés

ID d'article : 2466000 - Dernière mise à jour : 12 juil. 2013 - Révision : 1

Commentaires