Voz y Comunicaciones unificadas : Cisco Unity

Superar los problemas de permisos de los grupos protegidos con el asistente de permisos del Cisco Unity

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento explica cómo superar la dificultad que se presenta cuando los miembros de los grupos protegidos no heredan los permisos fijados por el asistente de permisos del Cisco Unity de su envase del padre.

prerrequisitos

Requisitos

No hay requisitos previos específicos para este documento.

Componentes Utilizados

Este documento se aplica al Cisco Unity 3.0(1) y versiones posteriores integrado con:

  • Exchange 2000

  • Intercambio 2003

  • Exchange 2000 mezclado e intercambio 2003

  • El Exchange 2000 mezclado e intercambia 2003 por el exchange 5.5

La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Antecedentes

Dentro del Active Directory hay un concepto conocido como “grupo protegido.” Los objetos de usuario cualquiera pueden ser explícitos o miembros transitivos de un grupo protegido. Los miembros explícitos son los que son miembros del grupo protegido y los miembros transitivos son los que son miembros de otra Seguridad o el grupo de distribución, que a su vez son un miembro de un grupo protegido.

Los objetos de usuario asociados a los grupos protegidos no siguen el modelo jerárquico de los permisos del Active Directory estándar. En vez de heredar los permisos de su envase del padre, su lista de control de acceso (ACL) es una copia del ACL en el objeto del AdminSDHolder. Una vez una hora, el controlador de dominio que lleva a cabo el emulador del controlador de dominio primario (PDC) y el papel de la Operación principal, única y flexible (FSMO) compara el ACL para los objetos de usuario asociados a los grupos protegidos contra el ACL en el objeto del AdminSDHolder. Si una discrepancia se encuentra entre el ACL para un objeto de usuario asociado a un grupo protegido y el objeto del AdminSDHolder, el objeto de usuario ACL se pone al día para hacer juego el ACL actual del objeto del AdminSDHolder.

Los grupos protegidos en el Windows 2000 son mencionados abajo:

  • Administradores de la empresa

  • Administradores de esquema

  • Administradores de dominio

  • Administradores

Los grupos protegidos en el Servidor Windows 2003 y en el Windows 2000 después de que usted aplique los 327825 hotfix o Service Pack 4 son mencionados abajo:

  • Administradores

  • Operadores de la cuenta

  • Operadores del servidor

  • Operadores de la impresión

  • Operadores de backup

  • Administradores de dominio

  • Administradores de esquema

  • Administradores de la empresa

  • Editores de certificados

Consideran a los usuarios siguientes también protegidos:

  • Administrador

  • Krbtgt

Problema

Antes de la versión del Cisco Unity 4.0(3), el asistente de permisos del Cisco Unity no asignó los permisos al objeto del AdminSDHolder. Puesto que los permisos no se asignan al objeto del AdminSDHolder, el Cisco Unity no puede escribir los datos necesarios mantener el funcionamiento normal con los objetos de usuario asociados a los grupos protegidos.

Síntomas

El error escribir los datos a un objeto de usuario puede dar lugar a una variedad de conductas inesperadas. Los síntomas comunes incluyen el error importar un usuario y las actualizaciones a una extensión, a una extensión alterna, o a una extensión de la transferencia que invierte de nuevo al viejo valor después de algunos minutos. Si el Cisco Unity intenta escribir al directorio y es acceso rechazado, un mensaje de error se registra siempre. Marque para que un mensaje de error determine si los permisos del directorio son la causa, tal y como se muestra en de los ejemplos abajo.

ejemplo del mensaje de error 3.x:

/image/gif/paws/44164/adminsdholder1.gif

ejemplo del mensaje de error 4.x:

adminsdholder2.gif

Solución

Varias Soluciones posibles existen a este problema. El método recomendado por Cisco es conceder a derechas siguientes a la cuenta de servicios de directorio en el objeto del AdminSDHolder de cada dominio los servicios de ese Cisco Unity. Apliqúese sobre este objeto solamente:

  • Enumere el contenido

  • Lea todas las propiedades

  • Escriba todas las propiedades

Las medidas siguientes se deben tomar para superar esta dificultad:

  1. Abra la ventana de los usuarios de directorio activo y computadora.

  2. Elija el View (Ver) > Advanced Features (Funciones avanzadas) para fijar los permisos en el objeto del AdminSDHolder.

    /image/gif/paws/44164/adminsdholder3.gif

  3. Hojee al objeto del AdminSDHolder. El objeto está en la siguiente ubicación para cada dominio en el bosque del Active Directory:

    CN=AdminSDHolder,CN=System,DC=Cisco,DC=Com
    

    (Donde está el Nombre distintivo (DN) el “dc=cisco, dc=com” del dominio.)

    Una vez que está localizado, haga clic con el botón derecho del ratón en el objeto del AdminSDHolder y elija las propiedades.

    /image/gif/paws/44164/adminsdholder4.gif

  4. De la ventana de pPropiedades, haga clic la ficha de seguridad y después haga clic avanzado.

    El hacer clic avanzado saca a colación las configuraciones del control de acceso para la ventana del AdminSDHolder.

    /image/gif/paws/44164/adminsdholder5.gif

  5. De las configuraciones del control de acceso para la ventana del AdminSDHolder, haga click en Add

    Esto trae para arriba la ventana Seleccionar usuario, Computadora o Grupo.

    /image/gif/paws/44164/adminsdholder6.gif

  6. De la ventana Seleccionar usuario, Computadora o Grupo, seleccione la cuenta de servicios de directorio y después haga clic la AUTORIZACIÓN.

    Esto saca a colación la entrada de permisos a la ventana AdminSDolder.

    /image/gif/paws/44164/adminsdholder7.gif

  7. De la entrada de permisos a la ventana AdminSDolder, en la aplicación sobre el campo, seleccione este objeto solamente y elija el contenido de la lista, Leer todas las propiedades y Escribir los derechos de todas las propiedades.

  8. Una vez que el paso 7 es completo, AUTORIZACIÓN del tecleo para cerrar la entrada de permisos a la ventana AdminSDolder, las configuraciones del control de acceso para la ventana del AdminSDHolder, y Ventana de AdminSDHolder Properties (Propiedades AdminSDHolder).

    En el plazo de una hora, el ACL será puesto al día en los objetos de usuario asociados a los grupos protegidos para reflejar los cambios.


Información Relacionada


Document ID: 44164