none
Insufficient Access Rights to Peform the Operation Problem 4003 (Insufficient Access Rights) Lync Server 2010 RRS feed

  • Pregunta

  • Buenas Tardes,

    Estimados nuevamente quiero hacer una consulta al foro, es  un problema que tengo en mi Lync Server 2010 el problema se produce cuando quiero modificar alguna propiedad del usuario en lync , cambiar el número de teléfono o alguna política de llamado, no me deja hacer nada ya que me aparece un error indicado que no tengo permisos para realizar esta operación dice lo siguiente:

     

    Active Directory operaction failed on DC01.contoso.com. You cannot retry this operation “IInsifficient Accesss Rights to perform the Operation ”  Problem 4003(INSUFF_ACCESS_RIGHTS), data 0

     

    Cuando instale mi lync me  pasaba pero lo que hacia activava la herencia en el usuario y luego esperaba un momento y el problema se solucionaba pero ahora esa opción no me sirve porque no me funciona he leido en foros en donde dicen que es un problema de la herencia pero en mi caso eso no aplica porque es algo más, hay un tema de permisos.

     

    Pero si puedo crear y hacer modificaciones a los usuarios del lync via power Shell , es problema se da cuando es vía web con la consola de lync..

    Tengo este artículo que explica el problema pero no me ha resultado http://support.microsoft.com/kb/2466000

    Alguna idea..

    Descripción: C:\Users\FCAMPU~1.E-C\AppData\Local\Temp\SNAGHTML135e16e.PNG

     

    Muchas gracias,


    lopkup
    jueves, 4 de agosto de 2011 19:03

Respuestas

  • Estimados,

     Solucione el Problema , leyendo en varios FOROS encontre que hacia que irce al panel de active directory en la OU SYSTEM > LUEGO EN LA CARPETA "AdminSDHolder" hacer propiedades sobre la carpeta irse a la pestaña de SEGURIDAD y el el OBJETO  que dice SELF poner FULL Control y luego ingrerar, con eso se soluciono el problema, ahora bien esto es un buena practica me podria traer consecuencias mas adelante?? con algunos permisos...

    bueno quedo atento a sus comentarios  y muchas gracias x los aportes!!!


    lopkup
    viernes, 5 de agosto de 2011 21:10

Todas las respuestas

  • Buenos dias, el problema radica porque no haz habilitado los permisos de kerberos en el IIS y por eso te da error en la consola web administrativa de Lync, coo bien dices por powershell no tienes ningun problema, yo prefiero administrar Lync por Powershell vamos es mi opinion, aqui te dejo la referencia para que habilites los permisos a nivel de kerberos:

     

    To set and configure a Kerberos authentication account password

     

    1.   Log on to a source computer (such as fe01.contoso.com) as a member of RTCUniversalServerAdmins group.

     

    2.   Start the Lync Server Management Shell: Click Start, click All Programs, click Microsoft Lync Server 2010, and then click Lync Server Management Shell.

     

    3.   From the Lync Server Management Shell command line, run the following two commands:

     

    Set-CsKerberosAccountPassword –FromComputer SourceComputer –ToComputer DestinationComputer

     

    For example:

     

    Set-CsKerberosAccountPassword –FromComputer fe01.contoso.com –ToComputer dir01.contoso.com

     

    Un saludo.


    Peter Diaz Microsoft Technical Ranger Spain| http://peterdiazmct.blogspot.com http://www.seidor.es | MCT - MCSE +S - MCTS - CCNA - CCDA - CSE - ITILF - CEH - CHFI
    viernes, 5 de agosto de 2011 6:47
  • peter , buenos dias

    tengo una duda con el comando

     

    Set-CsKerberosAccountPassword –FromComputer fe01.contoso.com –ToComputer dir01.contoso.com

    debo poner como fromcomputer el nombre de mi servidor lync y donde dice tocomputer el nombre de mi dc ? asi es

     

    gracias,


    lopkup
    viernes, 5 de agosto de 2011 13:32
  • Me aparece un Error probé las 2 combinaciones primero el dc luego el nombre del lync y viceversa

    dice que no tengo activada la autentificación de kerveros. algo así..

    Gracias peter...

     

    PS C:\> Set-CsKerberosAccountPassword -FromComputer lync50.contoso.cl -ToComputer dc01.contoso.cl
    WARNING: Set-CsKerberosAccountPassword failed.
    WARNING: Detailed results can be found at "C:\Users\fcampuzano\AppData\Local\Temp\2\Set-CsKerberosAccountPassword-753a0a09-ec44-49f7-a58f-f83b6db345a7.html".
    Set-CsKerberosAccountPassword : Command execution failed: lync50.contoso.cl is not enabled for Kerberos web authentication as it does not have a Kerberos use
    r assigned.
    At line:1 char:30
    + Set-CsKerberosAccountPassword <<<<  -FromComputer lync50.contoso.cl -ToComputer dc01.contoso.cl
        + CategoryInfo          : InvalidOperation: (:) [Set-CsKerberosAccountPassword], InvalidDeploymentStateException
        + FullyQualifiedErrorId : ProcessingFailed,Microsoft.Rtc.Management.Deployment.SetKerberosAccountPasswordCmdlet

    PS C:\> Set-CsKerberosAccountPassword -FromComputer dc01.contoso.cl -ToComputer lync50.contoso.cl
    WARNING: Set-CsKerberosAccountPassword failed.
    WARNING: Detailed results can be found at "C:\Users\fcampuzano\AppData\Local\Temp\2\Set-CsKerberosAccountPassword-80e34ec5-52c6-4c18-8daf-79d83a5215dd.html".
    Set-CsKerberosAccountPassword : Command execution failed: dc01.contoso.cl is not enabled for Kerberos web authentication as it does not have a Kerberos user
    assigned.
    At line:1 char:30
    + Set-CsKerberosAccountPassword <<<<  -FromComputer dc01.contoso.cl -ToComputer lync50.contoso.cl
        + CategoryInfo          : InvalidOperation: (:) [Set-CsKerberosAccountPassword], InvalidDeploymentStateException
        + FullyQualifiedErrorId : ProcessingFailed,Microsoft.Rtc.Management.Deployment.SetKerberosAccountPasswordCmdlet
    PS C:\> Set-CsKerberosAccountPassword -FromComputer dc01.contoso.cl -ToComputer lync50.contoso.cl

     


    lopkup
    viernes, 5 de agosto de 2011 13:40
  • Hola Fcampuzano, fijate por favor si la cuenta con la cual estás administrando Lync tiene los permisos necesarios para esas tareas.

    Fijate por favor si es miembro de los grupos de administración:

  • CsUserAdministrator: This administrator role can enable Call Park in voice policy. This administrator role also has read-only view access to all voice configurations.
  • CsServerAdministrator: This administrator role can manage, monitor, and troubleshoot servers and services.

    Chequea eso, y cualquier cosa nos avisas.

    Saludos


  • Heber Gonzalez Consultor en Infraestructura y Mensajería Microsoft www.xelcon.com.ar http://ar.linkedin.com/in/hebergonzalez Si llegaste a la solución de tu problema, por favor haz clic en "Proponer como respuesta" así otros visitantes del sitio pueden identificarlo como resuelto en caso de que les suceda lo mismo.
viernes, 5 de agosto de 2011 20:39
  • Hola Heber, Gracias por tu respuesta, revise y mi usuario con el que ingreso al administrador web del lync esta agregado en esos 2 grupos. Lo raro que me pasa es que puedo hacer todo por PowerShell pero via WEB nada.. no se que permisos debo poner! CsUserAdministrator: CsServerAdministrator:
    lopkup
    viernes, 5 de agosto de 2011 20:50
  • Estimados,

     Solucione el Problema , leyendo en varios FOROS encontre que hacia que irce al panel de active directory en la OU SYSTEM > LUEGO EN LA CARPETA "AdminSDHolder" hacer propiedades sobre la carpeta irse a la pestaña de SEGURIDAD y el el OBJETO  que dice SELF poner FULL Control y luego ingrerar, con eso se soluciono el problema, ahora bien esto es un buena practica me podria traer consecuencias mas adelante?? con algunos permisos...

    bueno quedo atento a sus comentarios  y muchas gracias x los aportes!!!


    lopkup
    viernes, 5 de agosto de 2011 21:10