UCActive Directory 指南Word文档格式.docx
《UCActive Directory 指南Word文档格式.docx》由会员分享,可在线阅读,更多相关《UCActive Directory 指南Word文档格式.docx(81页珍藏版)》请在冰点文库上搜索。
如何使用本指南4
术语和概念5
基础结构要求6
ActiveDirectory准备概述6
准备架构概述7
准备林概述7
准备域概述10
ActiveDirectory准备11
部署方法12
使用安装部署工具准备ActiveDirectory12
使用命令行准备ActiveDirectory17
安装和管理委派20
情景1:
委派安装(安装和激活)20
情景2:
委派服务器管理24
情景3:
委派用户管理25
情景4:
委派只读服务器管理26
情景5:
委派只读用户管理27
ActiveDirectory架构参考28
ActiveDirectory类29
ActiveDirectory属性32
属性说明39
附录A:
如何准备锁定的ActiveDirectory53
删除了经过身份验证的用户的权限54
权限继承在“计算机”、“用户”或“InetOrgPerson”
容器上禁用56
简介
若要部署和操作Microsoft®
OfficeCommunicationsServer2007,必须扩展MicrosoftActiveDirectory®
目录服务的域服务架构,然后在ActiveDirectory中创建并配置对象。
这些扩展会添加操作OfficeCommunicationsServer2007所必需的新ActiveDirectory属性和类。
本指南描述这些扩展,并重点介绍以下各方面:
∙如何准备ActiveDirectory以使您能够部署和操作OfficeCommunicationsServer2007。
∙如何委派安装和管理权限。
∙ActiveDirectory架构参考。
本指南的结构
本指南包含下列部分:
∙基础结构要求。
介绍ActiveDirectory准备所必需的先决条件。
∙ActiveDirectory准备概述。
简要介绍为OfficeCommunicationsServer2007准备ActiveDirectory所涉及的过程,并描述每个ActiveDirectory准备步骤的目的以及所
执行的操作。
这一部分说明在部署了运行OfficeCommunicationsServer的服务器的
每个域和林中要求执行的核心步骤。
∙ActiveDirectory准备。
提供有关使用GUI部署工具(Setup.exe)和命令行工具(LcsCmd.exe)执行必需的ActiveDirectory准备任务的分步指导。
∙安装和管理委派。
说明如何使用部署工具或命令行来委派安装或管理任务。
可使用部署工具或命令行将安装凭据委派给特定组,这样便无需使用DomainAdmins来执行任务。
还可以委派对特定池或服务器的用户或服务器权限,或者只读用户或服务器管理权限。
详细介绍OfficeCommunicationsServer2007添加的属性和类。
∙附录A:
如何准备锁定的ActiveDirectory。
说明如何准备已禁用权限继承或已禁用经过身份验证的用户访问控制项(ACE)的ActiveDirectory。
如何使用本指南
如何使用本指南取决于您需要了解的内容以及您要执行的操作。
可选择如下方式:
∙若要了解更多关于ActiveDirectory准备工作的详细信息,请完整阅读本指南。
∙若要了解有关准备ActiveDirectory的分步过程,请转到本指南的ActiveDirectory准备部分。
∙若要了解有关委派执行OfficeCommunicationsServer安装或管理的权限的分步过程,请转到本指南的安装和管理委派部分。
但是,在委派安装或管理任务之前,必须已为OfficeCommunicationsServer准备ActiveDirectory。
∙若要详细了解架构类和属性,请转到本指南的ActiveDirectory架构参考部分。
术语和概念
∙ActiveDirectory。
一种目录服务,可以存储有关网络上的对象的信息,并使这些信息能够为用户和网络管理员所用。
∙类。
在ActiveDirectory中,指对象的特征以及对象可包含的信息的类型。
对于每个对象类,架构都会定义该类的实例所必须具有的属性以及该实例可具有的其他属性。
∙域。
作为网络的一部分并共享一个公用目录数据库的一组计算机。
域会作为一个单元通过相同的规则和过程进行管理。
每个域都有一个唯一的名称。
ActiveDirectory域是计算机的集合,该集合由基于MicrosoftWindows®
操作系统的网络的管理员所定义。
这些计算机共享一个公用目录数据库,使用相同的安全策略,并与其他域有着相同的安全关系。
通过ActiveDirectory域可访问由域管理员维护的集中用户帐户和组帐户。
∙域控制器。
ActiveDirectory林中的一台服务器,它包含ActiveDirectory数据库的可写副本,参与ActiveDirectory复制,并控制对网络资源的访问。
∙林。
由一个或多个Windows域形成的集合,这些域共享相同的架构、配置和全局编录,并使用双向可传递信任进行链接。
∙林根域。
DNS(域名系统)命名空间的起始点。
在ActiveDirectory中,指ActiveDirectory树中的初始域。
也是林的初始域。
∙全局编录服务器。
一个目录数据库,应用程序和客户端可以查询该数据库,以查找林中的任何对象。
全局编录位于林中的一个或多个域控制器上。
它包含林中每个域目录分区的部分副本。
这些部分副本包含林中每个对象的副本,如下所述:
∙搜索操作中最常用的属性。
∙查找对象的完整副本所需要的属性。
∙全局组。
一种安全组或分发组,可以包含它自己的域中的用户、组和计算机作为成员。
全局安全组可以拥有对其林中任何域中的资源的权利和权限。
∙架构。
可存储在目录中的所有对象的定义集。
对于每个对象类,架构定义该类的实例必须具有哪些属性、可以具有其他哪些属性,以及其他哪些对象类可以作为其父对象类。
∙通用组。
一种安全组或分发组,可包含其林的任何域中作为成员的用户、组和计算机。
通用安全组可以拥有对林中任何域中的资源的权利和权限。
基础结构要求
在为OfficeCommunicationsServer2007准备ActiveDirectory之前,请确保您的ActiveDirectory基础结构符合以下先决条件。
∙域控制器运行MicrosoftWindows®
2000ServerSP4(ServicePack4)、MicrosoftWindowsServer®
2003SP1、WindowsServer2003R2或更高版本的操作系统。
(建议使用WindowsServer2003R2)。
∙全局编录服务器运行Windows2000ServerSP4、WindowsServer
2003SP1、
WindowsServer2003R2或更高版本。
∙在其中部署OfficeCommunicationsServer的所有域都要使用Windows2000Server本机模式或更高版本的操作系统。
不能在混合模式域中部署OfficeCommunicationsServer。
OfficeCommunicationsServer2007在MicrosoftWindowsServer2003和Windows2000Server操作系统中支持本机模式通用组。
通用组的成员可包括域树或林中任何域的其他组和帐户,并且可将域树或林中任何域的权限分配给这些成员。
通用组支持与管理员委派相结合,可简化对OfficeCommunicationsServer2007部署的管理。
例如,为使管理员能同时管理两个域,您无需再将一个域添加到另一个域中,从而在免去添加域的需要的同时,大大简化了部署。
注意
若要更改域以在Windows2000本机模式或更高版本的操作系统中
运行,请参阅
ActiveDirectory准备概述
为OfficeCommunicationsServer2007准备ActiveDirectory涉及三个基本步骤,以下各部分将详细介绍这些步骤:
∙准备ActiveDirectory架构。
扩展架构,以便能够将OfficeCommunicationsServer2007所需的新类和属性添加到架构中。
此步骤在ActiveDirectory林中执行一次。
∙准备ActiveDirectory林。
在根域的“系统”容器下或者配置命名上下文中创建OfficeCommunicationsServer对象和属性。
这些对象和属性是部署和操作OfficeCommunicationsServer所必需的。
准备林是必需的步骤,并且要在ActiveDirectory
林上执行一次。
∙准备每一个ActiveDirectory域。
为通用组添加对域中对象的权限。
准备域是必需的步骤,并且必须在部署OfficeCommunicationsServer的每个域中执行一次。
准备架构概述
“准备架构”步骤扩展ActiveDirectory中的架构,以包含特定于OfficeCommunicationsServer2007的类和属性。
这是为部署OfficeCommunicationsServer2007准备环境时首先执行的过程。
此过程是必需的,并且仅在ActiveDirectory林中执行一次。
有关执行此过程所需的具体步骤和凭据,请参阅本指南后面的ActiveDirectory准备部分。
OfficeCommunicationsServer2007向ActiveDirectory架构添加新的类和属性以及对象。
这些类和属性将在本指南后面的ActiveDirectory架构参考部分中详细介绍。
准备林概述
如果选择默认选项,则“准备林”步骤将在林根域“系统”容器中创建OfficeCommunicationsServer对象;
如果选择配置容器,则将在配置容器中创建这些对象。
这些对象包含有关OfficeCommunicationsServer部署的全局设置和信息。
“准备林”
还会在配置容器中创建OfficeCommunicationsServer对象,配置容器包含OfficeCommunicationsServer所使用的属性集和显示说明符。
“准备林”操作必须在计划部署OfficeCommunicationsServer的每个ActiveDirectory林中执行一次。
有关执行此过程所需要的具体步骤和凭据,请参阅本指南后面题为ActiveDirectory准备的部分。
∙创建ActiveDirectory全局设置和对象。
∙创建OfficeCommunicationsServer所使用的ActiveDirectory组。
ActiveDirectory全局设置和对象
“准备林”可创建OfficeCommunicationsServer所使用的全局设置和对象,如下所述:
∙根据您选择的选项,在根域的系统容器或配置容器中创建ActiveDirectory对象中的全局设置。
∙如果选择将全局设置存储在根域的“系统”容器中(推荐),则会在根域的“系统”下添加新的Microsoft容器并在“系统\Microsoft”对象下添加新的“RTC服务”对象。
如果选择将全局设置存储在根域的“配置”容器下,则将使用现有的“服务”容器,但会在“配置\服务”对象下添加一个新的“RTC服务”对象。
∙在“RTC服务”对象下添加msRTCSIP-GlobalContainer类型的“全局设置”对象。
该“全局设置”对象包含应用于整个OfficeCommunicationsServer2007部署的所有设置。
∙为执行“准备林”操作的根域添加一个新的msRTCSIP-Domain对象。
可使用命令行或GUI部署指定域。
ActiveDirectory通用服务组和管理组
“准备林”还会根据您指定要承载通用组的域来创建通用组,并添加这些组的访问控制项(ACE)。
“准备林”会创建下列各项:
∙在指定要承载OfficeCommunicationsServer所使用通用组的域的“用户”容器中创建通用组,如下所述:
服务组:
RTCHSUniversalServices
RTCComponentUniversalServices
RTCArchivingUniversalServices
RTCProxyUniversalServices
∙RTCUniversalGuestAccessGroup授予用户访问会议内容的权限。
此组由使用ActiveDirectory凭据进行远程连接的内部用户,以及没有ActiveDirectory凭据的匿名用户所使用
管理组:
∙RTCUniversalServerAdmins允许成员管理服务器和池设置
∙RTCUniversalUserAdmins允许成员管理用户设置,还允许成员在不同的服务器或池中移动用户
∙RTCUniversalReadOnlyAdmins允许成员读取服务器、池和用户设置
基础结构组:
∙RTCUniversalGlobalWriteGroup授予对OfficeCommunicationsServer的全局设置对象的写访问权限
∙RTCUniversalGlobalReadOnlyGroup授予对OfficeCommunicationsServer的全局设置对象的只读访问权限
∙RTCUniversalUserReadOnlyGroup授予对OfficeCommunicationsServer用户设置的只读访问权限
∙RTCUniversalServerReadOnlyGroup授予对OfficeCommunicationsServer设置的
只读访问权限。
此组没有对池级别设置的访问权限,只有对特定于单个服务器的设置的访问权限
将管理员组添加到正确的基础结构组:
∙RTCUniversalServerAdmins添加到RTCUniversalGlobalReadOnlyGroup、RTCUniversalGlobalWriteGroup、RTCUniversalServerReadOnlyGroup和RTCUniversalUserReadOnlyGroup中
∙RTCUniversalUserAdmins作为RTCUniversalGlobalReadOnlyGroup、RTCUniversalServerReadOnlyGroup和RTCUniversalUserReadOnlyGroup的成员添加
∙RTCHSUniversalServices、RTCComponentUniversalServices和RTCUniversalReadOnlyAdmins作为RTCUniversalGlobalReadOnlyGroup、RTCUniversalServerReadOnlyGroup和RTCUniversalUserReadOnlyGroup的成员添加
“准备林”在OfficeCommunicationsServer2007所使用的全局设置容器中创建专用ACE。
此容器仅由OfficeCommunicationsServer使用,位于根域的“系统”容器或配置容器中(取决于您指定的选项)。
“准备林”所创建的公共ACE列于下表中:
表
1.
“准备林”添加的ACE
RTCUniversalGlobalReadOnlyGroup
读取根域“系统”容器(非继承)*
X
读取“配置”的DisplaySpecifiers容器
(非继承)
*非继承的ACE不会授予对这些容器下的子对象的访问权限。
继承的ACE将授予对这些容器下的子对象的访问权限。
“准备林”操作在配置命名上下文下的配置容器上执行以下任务。
∙在用户、联系人和InetOrgPersons的语言显示说明符(例如,CN=user-Display,CN=409,CN=DisplaySpecifiers)的adminContextMenu和adminPropertyPages属性下,为“RTC属性”页添加一个条目{AB255F23-2DBD-4bb6-891D-38754AC280EF}。
∙在Extended-Rights下添加适用于用户和联系人类的controlAccessRight类型的RTCPropertySet对象。
∙在Extended-Rights下添加适用于用户、联系人、OU和DomainDNS类的controlAccessRight类型的RTCUserSearchPropertySet对象。
∙在每个语言组织单位显示说明符(例如,CN=organizationalUnit-Display,CN=409,CN=DisplaySpecifiers)的extraColumns属性下添加msRTCSIP-PrimaryUserAddress,并复制默认显示(例如,CN=default-Display,CN=409,CN=DisplaySpecifiers)的extraColumns属性的值。
∙在用户、联系人和InetOrgPerson对象的每个语言显示说明符(例如,在英文中为CN=user-Display,CN=409,CN=DisplaySpecifiers)的attributeDisplayNames属性下,添加msRTCSIP-PrimaryUserAddress、msRTCSIP-PrimaryHomeServer和msRTCSIP-UserEnabled筛选属性。
准备域概述
“准备域”步骤向通用组添加授予承载和管理域中用户的权限所需的ACE。
“准备域”必须在要部署OfficeCommunicationsServer的所有域中,以及OfficeCommunicationsServer用户将位于的所有域中执行。
该任务要在每个域中执行一次。
“准备域”在域根和三个内置容器中创建ACE:
用户、计算机和域控制器。
下面的表2和表3列出了这些ACE。
除非另有说明,否则所有ACE都是继承的。
2.
添加到域根中的ACE
RTCUniversal-UserrReadOnly-Group
RTCUniversal-ServerReadOnly-Group
RTCUniversal-UserAdmins
RTCHSUniversal-Services
AuthenticatedUsers
读取容器(非继承)
读取用户属性集
User-Account-Restrictions
Personal-Information
读取用户属性集
General-Information
Public-Information
RTCUserSearchProperty-Set
RTCPropertySet
写入用户属性
Proxy-Addresses
写入用户属性集
读取所有ActiveDirectory对象的属性集DS-Replication-Get-Changes
3.
添加到“用户”、“计算机”和“域控制器”容器的ACE
RTCUniversalUserReadOnlyGroup
RTCUniversalServerReadOnlyGroup
读取容器
如果您的组织使用自定义容器而不是三个内置容器,则AuthenticatedUsers组必须对自定义容器具有读访问权限。
如果AuthenticatedUsers组对自定义容器没有读访问权限,请使用LcsCmd.exe运行CreateLcsOUPermissions命令以授予对所有