Durante el día de hoy, trabajando con un cliente me encontré con el siguiente problema: Al momento de habilitar Lync para algún usuario miembro de algún grupo protegido (por ejemplo Domain Admins) se recibe el siguiente mensaje de error:
Cuando se instala Lync, se realiza un proceso llamado preparación de Dominio que agrega entradas de seguridad (ACEs) a nivel dominio, para que el contexto de seguridad de Lync pueda leer/modificar las cuentas de usuarios, esto se puede ver en la solapa de seguridad de las propiedades del dominio:
Sin embargo, aquellos usuarios que son o fueron parte de alguno de los grupos protegidos de Active Directory, tienen la herencia de permisos deshabilitada, de manera tal que estos permisos de Lync no se aplican, por ejemplo si comparamos un usuario sin permisos especiales con un administrador de dominio, nos encontramos con los siguiente:
Usuario normal:
Usuario miembro de Domain Admins:
Por lo tanto el error se genera por que no existen las entradas de seguridad para poder realizar acciones sobre estos usuarios. Como solución alternativa, se podría habilitar la opción “Include inheritable permissions from this object’s parent” para luego proceder a habilitar el usuario en Lync, sin embargo debido a la acción del AdminSDHolder, la herencia volverá a ser bloqueada y si se pretende modificar alguno de estos usuarios es esperado obtener mensajes de error.
El objeto AdminSDHolder se encarga de proteger la seguridad de aquellos usuarios que son miembros de grupos protegidos. Los grupos protegidos son los siguientes:
- Administrators
- Account Operators
- Server Operators
- Print Operators
- Backup Operators
- Domain Admins
- Schema Admins
- Enterprise Admins
- Cert Publishers
Es por esta razón que todos los miembros de estos grupos, no recibirán los permisos creados durante la instalación de Lync para poder realizar tareas administrativas sobre sus cuentas (como por ejemplo habilitar Lync)
La solución definitiva es no utilizar cuentas con privilegios elevados para tareas diarias como email o comunicaciones. Esto se encuentra descripto en los siguientes artículos:
Best Practices: Using a Separate Account for Admin Tasks
Applying the Principle of Least Privilege to User Accounts on Windows
http://www.microsoft.com/en-us/download/details.aspx?id=4868
Más información sobre el proceso AdminSDHolder:
Delegated permissions are not available and inheritance is automatically disabled
http://support.microsoft.com/kb/817433
Lync Server Control Panel returns that error "Insufficient access rights to perform the operation" when attempting a move user or enable user command
http://support.microsoft.com/kb/2466000/zh-cn
Modify the AdminSDHolder container
http://technet.microsoft.com/en-us/library/cc772662(v=WS.10).aspx
Espero que sea de utilidad. Saludos!