Voz e comunicações unificadas : Cisco Unity

Superando problemas de permissão dos grupos protegidos com o wizard de permissões do Cisco Unity

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento explica como superar a dificuldade que elevara quando os membros dos grupos protegidos não herdam as permissões ajustadas pelo wizard de permissões do Cisco Unity de seu recipiente do pai.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento aplica-se ao Cisco Unity 3.0(1) e a mais atrasado integrado com:

  • Exchange 2000

  • Troca 2003

  • Exchange 2000 misturado e troca 2003

  • O Exchange 2000 misturado e troca 2003 com o exchange 5.5

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se você estiver trabalhando em uma rede ativa, certifique-se de que entende o impacto potencial de qualquer comando antes de utilizá-lo.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Informações de Apoio

Dentro do diretório ativo há um conceito conhecido como “um grupo protegido.” Os objetos do usuário qualquer um podem ser explícitos ou membros de transição de um grupo protegido. Os Membros explícitos são aqueles que são membros do grupo protegido e os membros de transição são aqueles que são membros de uma outra Segurança ou grupo de distribuição, que são por sua vez um membro de um grupo protegido.

Os objetos do usuário associados com os grupos protegidos não seguem o modelo hierárquico das permissões do diretório ativo padrão. Em vez de herdar permissões de seu recipiente do pai, seu Access Control List (ACL) é uma cópia do ACL no objeto do AdminSDHolder. Uma vez uma hora, o controlador de domínio que guarda o emulador do controlador de domínio principal (PDC) e o papel da Operação master único e flexível (FSMO) compara o ACL para os objetos do usuário associados com os grupos protegidos contra o ACL no objeto do AdminSDHolder. Se uma discrepância é encontrada entre o ACL para um objeto do usuário associado com um grupo protegido e o objeto do AdminSDHolder, o objeto do usuário ACL está atualizado para combinar o ACL atual do objeto do AdminSDHolder.

Os grupos protegidos no Windows 2000 estão listados abaixo:

  • Administradores da empresa

  • Administradores do Esquema

  • Administradores de domínio

  • Administradores

Os grupos protegidos em Windows Server 2003 e no Windows 2000 depois que você aplica o hotfix 327825 ou o pacote de serviços 4 estão listados abaixo:

  • Administradores

  • Operadores da conta

  • Operadores de servidor

  • Operadores da cópia

  • Operadores de Backup

  • Administradores de domínio

  • Administradores do Esquema

  • Administradores da empresa

  • Editores Cert

Os seguintes usuários são considerados igualmente protegidos:

  • Administrador

  • Krbtgt

Problema

Antes da liberação do Cisco Unity 4.0(3), o wizard de permissões do Cisco Unity não atribuiu permissões ao objeto do AdminSDHolder. Desde que as permissões não são atribuídas ao objeto do AdminSDHolder, o Cisco Unity não pode redigir os dados necessários manter a operação normal com os objetos do usuário associados com os grupos protegidos.

Sintomas

A falha redigir dados a um objeto do usuário pode conduzir a uma variedade de comportamentos inesperados. Os sintomas comuns incluem a falha importar um usuário e atualizações a uma extensão, a uma extensão alternativa, ou a uma extensão de transferência que reverte de volta ao valor velho após alguns minutos. Se o Cisco Unity tenta escrever ao diretório e é acesso recusado, um Mensagem de Erro está registrado sempre. Verifique para ver se há um Mensagem de Erro para determinar se as permissões de diretório são a causa, segundo as indicações dos exemplos abaixo.

exemplo do Mensagem de Erro 3.x:

/image/gif/paws/44164/adminsdholder1.gif

exemplo do Mensagem de Erro 4.x:

adminsdholder2.gif

Solução

Diversas soluções possíveis existem a este problema. O método recomendado por Cisco é conceder aos seguintes direitos à conta de serviços de diretório no objeto do AdminSDHolder de cada domínio serviços desse Cisco Unity. Aplique neste objeto somente:

  • Aliste índices

  • Leia todas as propriedades

  • Escreva todas as propriedades

As seguintes etapas devem ser tomadas para superar esta dificuldade:

  1. Abra o indicador dos usuários e dos computadores de diretório ativo.

  2. Escolha o Visualizar > Recursos Avançados ajustar permissões no objeto do AdminSDHolder.

    /image/gif/paws/44164/adminsdholder3.gif

  3. Consulte ao objeto do AdminSDHolder. O objeto está no seguinte lugar para cada domínio na floresta do diretório ativo:

    CN=AdminSDHolder,CN=System,DC=Cisco,DC=Com
    

    (Onde o “dc=cisco, dc=com” é o nome destacado (DN) do domínio.)

    Uma vez que localizado, clicar com o botão direito no objeto do AdminSDHolder e escolha propriedades.

    /image/gif/paws/44164/adminsdholder4.gif

  4. Da janela de propriedades, clique a ABA de segurança e clique então avançado.

    Clicar avançado traz acima os ajustes do controle de acesso para o indicador do AdminSDHolder.

    /image/gif/paws/44164/adminsdholder5.gif

  5. Dos ajustes do controle de acesso para o indicador do AdminSDHolder, o clique adiciona.

    Isto traz acima o usuário, o computador, ou a janela do grupo seleta.

    /image/gif/paws/44164/adminsdholder6.gif

  6. Do usuário seleto, o computador, ou a janela do grupo, selecionam a conta de serviços de diretório e clicam então a APROVAÇÃO.

    Isto traz acima as Permissões de entrada para a janela AdminSDHolder.

    /image/gif/paws/44164/adminsdholder7.gif

  7. Das Permissões de entrada para a janela AdminSDHolder, na aplicação no campo, selecione este objeto somente e escolha os índices da lista, ler todas as propriedades e escrever todos os direitos de propriedades.

  8. Uma vez que a etapa 7 está completa, APROVAÇÃO do clique para fechar as Permissões de entrada para a janela AdminSDHolder, os ajustes do controle de acesso para o indicador do AdminSDHolder, e a janela Propriedades de AdminSDHolder.

    Dentro de uma hora, o ACL será atualizado nos objetos do usuário associados com os grupos protegidos para refletir as mudanças.


Informações Relacionadas


Document ID: 44164