Voix et communications unifiées : Cisco Unity

Résolution des problèmes d'autorisations de groupes protégés avec l'Assistant Autorisations Cisco Unity

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document explique comment surmonter la difficulté qui surgit quand les membres des groupes protégés n'héritent pas des autorisations réglées par l'assistant d'autorisations de Cisco Unity de leur conteneur de parent.

Conditions préalables

Conditions requises

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Ce document s'applique au Cisco Unity 3.0(1) et à plus tard intégré avec :

  • Échange 2000

  • Exchange 2003

  • Échange mélangé 2000 et Exchange 2003

  • Échange mélangé 2000 et Exchange 2003 avec l'échange 5.5

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Informations générales

Dans le Répertoire actif il y a un concept connu sous le nom de « groupe protégé. » Les objets utilisateurs l'un ou l'autre peuvent être les membres explicites ou transitifs d'un groupe protégé. Les membres explicites sont tels qui sont des membres du groupe protégé et les membres transitifs sont ceux qui sont des membres d'un autre groupe de Sécurité ou de distribution, qui est consécutivement un membre d'un groupe protégé.

Les objets utilisateurs associés avec les groupes protégés ne suivent pas le modèle hiérarchique d'autorisations de Répertoire actif standard. Au lieu d'hériter des autorisations de leur conteneur de parent, leur liste de contrôle d'accès (ACL) est une copie de l'ACL sur l'objet d'AdminSDHolder. Une fois par heure, le contrôleur de domaine qui tient l'émulateur de Primary Domain Controller (PDC) et le rôle principal simple flexible de l'exécution (FSMO) compare l'ACL pour des objets utilisateurs associés avec les groupes protégés contre l'ACL sur l'objet d'AdminSDHolder. Si une anomalie est trouvée entre l'ACL pour un objet utilisateur associé avec un groupe protégé et l'objet d'AdminSDHolder, l'ACL d'objet utilisateur est mis à jour pour apparier l'ACL en cours de l'objet d'AdminSDHolder.

Les groupes protégés dans le Windows 2000 sont répertoriés ci-dessous :

  • Administrateurs d'entreprise

  • Administrateurs de schéma

  • Administrateurs de domaine

  • Administrateurs

Les groupes protégés dans les Windows Server 2003 et dans le Windows 2000 après que vous appliquiez le correctif 327825 ou le Service Pack 4 sont répertoriés ci-dessous :

  • Administrateurs

  • Opérateurs de compte

  • Opérateurs de serveur

  • Opérateurs d'impression

  • Opérateurs de sauvegarde

  • Administrateurs de domaine

  • Administrateurs de schéma

  • Administrateurs d'entreprise

  • Éditeurs de CERT

Les utilisateurs suivants également sont considérés protégés :

  • Administrateur

  • Krbtgt

Problème

Avant la release du Cisco Unity 4.0(3), l'assistant d'autorisations de Cisco Unity n'a pas assigné des autorisations à l'objet d'AdminSDHolder. Puisque des autorisations ne sont pas assignées à l'objet d'AdminSDHolder, le Cisco Unity ne peut pas écrire les données nécessaires pour mettre à jour le fonctionnement normal avec des objets utilisateurs associés avec les groupes protégés.

Symptômes

Le manque d'écrire des données à un objet utilisateur peut avoir comme conséquence un grand choix de comportements inhabituels. Les symptômes communs incluent le manque d'importer un utilisateur et des mises à jour à une extension, à un poste secondaire, ou à une extension de transfert revenant à la vieille valeur après quelques minutes. Si les tentatives de Cisco Unity d'écrire au répertoire et est accès refusé, un message d'erreur est enregistré toujours. Vérifiez un message d'erreur pour déterminer si les autorisations de répertoire sont la cause, suivant les indications des exemples ci-dessous.

exemple du message d'erreur 3.x :

/image/gif/paws/44164/adminsdholder1.gif

exemple du message d'erreur 4.x :

adminsdholder2.gif

Solution

Plusieurs solutions possibles existent à ce problème. La méthode recommandée de Cisco est d'accorder aux droites suivantes au compte de services d'annuaire sur l'objet d'AdminSDHolder de chaque domaine ces services de Cisco Unity. Appliquez sur cet objet seulement :

  • Contenu de liste

  • Lisez tout le Properties

  • Écrivez tout le Properties

Les mesures suivantes devraient être prises pour surmonter cette difficulté :

  1. Ouvrez la fenêtre d'utilisateurs et d'ordinateurs de Répertoire actif.

  2. Choisissez la vue > la fonctionnalité avancée pour placer des autorisations sur l'objet d'AdminSDHolder.

    /image/gif/paws/44164/adminsdholder3.gif

  3. Parcourez à l'objet d'AdminSDHolder. L'objet est dans l'emplacement suivant pour chaque domaine dans la forêt de Répertoire actif :

    CN=AdminSDHolder,CN=System,DC=Cisco,DC=Com
    

    (Où « DC=Cisco, DC=Com » est le nom unique (le DN) du domaine.)

    Une fois que situé, cliquez avec le bouton droit sur l'objet d'AdminSDHolder et choisissez Properties.

    /image/gif/paws/44164/adminsdholder4.gif

  4. De la fenêtre de Properties, cliquez sur l'onglet Sécurité et puis cliquez sur avancé.

    Cliquer sur avancé évoque les configurations de contrôle d'accès pour la fenêtre d'AdminSDHolder.

    /image/gif/paws/44164/adminsdholder5.gif

  5. Des configurations de contrôle d'accès pour la fenêtre d'AdminSDHolder, cliquez sur Add.

    Ceci apporte la fenêtre choisie d'utilisateur, d'ordinateur, ou de groupe.

    /image/gif/paws/44164/adminsdholder6.gif

  6. De l'utilisateur choisi, la fenêtre d'ordinateur, ou de groupe, sélectionnent le compte de services d'annuaire et puis cliquent sur OK.

    Ceci évoque l'entrée d'autorisations pour la fenêtre d'AdminSDHolder.

    /image/gif/paws/44164/adminsdholder7.gif

  7. De l'entrée d'autorisations pour la fenêtre d'AdminSDHolder, dans l'application sur le champ, sélectionnez cet objet seulement et choisissez le contenu de liste, lisez tout le Properties, et écrivez toutes les droites de Properties.

  8. Une fois qu'étape 7 est complète, cliquez sur OK pour fermer l'entrée d'autorisations pour la fenêtre d'AdminSDHolder, les configurations de contrôle d'accès pour la fenêtre d'AdminSDHolder, et la fenêtre d'AdminSDHolder Properties.

    Dans un délai d'une heure, l'ACL sera mis à jour sur les objets utilisateurs associés avec les groupes protégés pour refléter les modifications.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 44164