Friday, September 2, 2011

Lync gebruiker enablen: Active Directory operation failed <DC>. You cannot retry this operation…

Eén keer in de zoveel tijd krijg ik de vraag waarom een gebruiker in Lync Controle Panel niet Lync enabled kan worden. Er verschijnt een AD foutmeldingen die duidt op te weinig rechten, terwijl de beheerder wel degelijk de CsUserAdministrator of CsAdministrator rol heeft.

image

Bovendien blijkt het wel te werken in Lync Management Shell:

image

De oorzaak van dit probleem is dat deze gebruiker lid is (of op een bepaald moment was) van een zogenaamde protected group. Protected groups zijn bijvoorbeeld Domain Admins en Enterprise Admins. In Active Directory loopt namelijk een proces wat bij leden van deze groepen het vinkje voor Include inheritable permissions from this object’s parent verwijdert. Hierdoor beschikt Lync Control Panel niet over rechten om de eigenschappen van het object bij te werken. Doordat er verschil zit in de manier waarop Lync Control Panel en Lync Management Shell werken treedt de foutmelding niet op als je de user inschakelt in de Lync Management Shell.

We kunnen dit zien door in Active Directory Users and Computers (ADUC) eerst Advanced Features aan te zetten, deze vind je onder View. Vervolgens zoeken we onze probleemgebruiker op en klikken we op Security, Advanced. Hier zien we dat het vinkje ontbreekt:

image

Het plaatsen van het vinkje alleen is geen oplossing, zo lang de gebruiker lid is van deze groepen zal het vinkje vanzelf weer weggehaald worden. De echte vraag is natuurlijk waarom een gewone gebruiker lid moet zijn van deze groepen. Het is toch zeker een best practice om beheerwerkzaamheden en “normaal” werk met verschillende accounts te doen, zo voorkom je dat risico’s die je als downloader en internetter loopt verstrekkende gevolgen hebben, om nog maar te zwijgen van het bekend worden van je gebruikersnaam en wachtwoord wat je her en der gebruikt.

Bovendien leidt het ontbrekende vinkje tot problemen met andere applicaties, bijvoorbeeld ActiveSync wat voor deze gebruikers niet werkt in Exchange 2010. De beste oplossing is dus om een gescheiden (maar wel persoonlijk) account te gebruiken voor beheerwerkzaamheden en je eigen account niet lid te maken van deze speciale groepen. Mocht dit echt niet lukken dan kun je het vinkje tijdelijk terugplaatsen of de gebruiker enablen met Lync Management Shell.

No comments: