Доменные службы Active Directory для Skype для бизнеса Server 2015Active Directory Domain Services for Skype for Business Server 2015

Доменные службы Active Directory работает как службы каталогов для Windows Server 2003, Windows Server 2008, Windows Server 2012 и Windows Server 2012 R2 сетей.Active Directory Domain Services functions as the directory service for Windows Server 2003, Windows Server 2008, Windows Server 2012, and Windows Server 2012 R2 networks. Доменные службы Active Directory также выступает в качестве foundation, на котором создается Скайп для инфраструктуры безопасности Business Server 2015.Active Directory Domain Services also serves as the foundation on which the Skype for Business Server 2015 security infrastructure is built. Этот раздел предназначен для описания как Скайп для Business Server 2015 использует доменных служб Active Directory для создания надежного среды обмена мгновенными Сообщениями, веб-конференций, мультимедиа и голосовой связи.The purpose of this section is to describe how Skype for Business Server 2015 uses Active Directory Domain Services to create a trustworthy environment for IM, Web conferencing, media, and voice. Для получения дополнительных сведений о подготовке среды для доменных служб Active Directory видеть Установка Скайп для Business Server 2015 в документации по развертыванию.For details about preparing your environment for Active Directory Domain Services, see Install Skype for Business Server 2015 in the Deployment documentation. Для получения дополнительных сведений о роли доменных служб Active Directory в сетях Windows Server документации для версии операционной системы, которую вы используете.For details about the role of Active Directory Domain Services in Windows Server networks, see the documentation for the version of the operating system you are using.

Скайп для Business Server 2015 использует доменных служб Active Directory для хранения:Skype for Business Server 2015 uses Active Directory Domain Services to store:

  • Глобальные параметры, которые требуют всех серверов с Скайп для 2015 Business Server в лесу.Global settings that all servers running Skype for Business Server 2015 in a forest require.

  • Сведения о службе, идентифицирующее роли всех серверов с Скайп для 2015 Business Server в лесу.Service information that identifies the roles of all servers running Skype for Business Server 2015 in a forest.

  • некоторые пользовательские параметры.Some user settings.

Инфраструктуре Active DirectoryActive Directory Infrastructure

Существуют следующие требования к инфраструктуре для Active Directory.Infrastructure requirements for Active Directory include the following:

  • требования к ОС для доменных контроллеров;Operating system requirements for domain controllers

  • требования для функциональных уровней домена и леса;Domain and forest functional level requirements

  • требования для домена глобального каталога.Global catalog domain requirements

Дополнительные сведения см в документации по развертыванию окружающей среды требования к Скайп для Business Server 2015 .For details, see Environmental requirements for Skype for Business Server 2015 in the Deployment documentation.

Универсальные группыUniversal Groups

Во время подготовки леса Скайп для Business Server 2015 создает различные универсальных групп в доменных службах Active Directory, которая имеет разрешение на доступ и управление глобальные параметры и службы.During preparation of the forest, Skype for Business Server 2015 creates various universal groups within Active Directory Domain Services that have permission to access and manage global settings and services. Универсальные группы делятся на следующие группы:These universal groups include:

  • административные группы.Administrative groups. Эти группы определения ролей фундаментальные администратора для Скайп для сети Business Server.These groups define the fundamental administrator roles for a Skype for Business Server network. Во время подготовки леса этих групп администраторов добавляются Скайп для группы инфраструктуры Business Server.During forest preparation, these administrator groups are added to Skype for Business Server infrastructure groups.

  • группы обслуживания.Service groups. Эти группы — это учетные записи служб, которые необходимы для доступа к различных служб, предоставляемых Скайп для Business Server.These groups are service accounts that are required to access various services provided by Skype for Business Server.

  • группы инфраструктур.Infrastructure groups. Эти группы предоставить разрешения на доступ к конкретной части Скайп для инфраструктуры Business Server.These groups provide permission to access specific areas of the Skype for Business Server infrastructure. Они работают как компоненты административных групп; не следует изменять их или добавлять в них пользователей непосредственно.They function as components of administrative groups, and you should not modify them or add users to them directly. При подготовке леса определенные группы обслуживания и администрирования добавляются в соответствующие группы инфраструктур.During forest preparation, specific service and administration groups are added to the appropriate infrastructure groups.

Для получения дополнительных сведений о конкретных универсальные группы, созданные при подготовке AD для Скайп Business Server, а также служб и административные группы, которые добавляются в группы инфраструктуры увидеть изменений, внесенных путем подготовки леса в Скайп для бизнеса Сервер в документации по развертыванию.For details about the specific universal groups created when preparing AD for Skype for Business Server, as well as the service and administration groups that get added to the infrastructure groups, see Changes made by forest preparation in Skype for Business Server in the Deployment documentation.

Примечание

Скайп для Business Server 2015 поддерживает универсальные группы в Windows Server 2012, а также ОС Windows Server 2003 для контроллеров домена.Skype for Business Server 2015 supports the universal groups in the Windows Server 2012, as well as Windows Server 2003 operating systems for domain controllers. Члены универсальных групп могут быть другие группы и учетные записи из любого домена в дереве доменов или лесов и можно назначить разрешения любого домена в дереве доменов или лесов.Members of universal groups can include other groups and accounts from any domain in the domain tree or forest and can be assigned permissions in any domain in the domain tree or forest. Поддержка универсальной группы, в сочетании с делегированием администратора упрощает управление Скайп для развертывания Business Server.Universal group support, combined with administrator delegation, simplifies the management of a Skype for Business Server deployment. Например не является для добавления одного домена в другой, чтобы разрешить администраторам управлять оба.For example, it is not necessary to add one domain to another to enable an administrator to manage both.

Управление доступом на основе ролейRole-Based Access Control

Кроме создания универсальных групп обслуживания и администрирования и добавления этих групп в соответствующие универсальные группы, подготовка леса также создает группы управления доступом на основе ролей (RBAC).In addition to creating universal service and administration groups and adding service and administration groups to the appropriate universal groups, forest preparation also creates Role-Based Access Control (RBAC) groups. Для получения дополнительных сведений о конкретных группах RBAC, созданные подготовки леса просмотрите изменения, внесенные с подготовки леса в Скайп для Business Server в документации по развертыванию.For details about the specific RBAC groups created by forest preparation, see Changes made by forest preparation in Skype for Business Server in the Deployment documentation. Дополнительные сведения о группах RBAC управления доступом на основе ролей (RBAC) для Скайп для Business Server 2015см.For more information about RBAC groups, see Role-based access control (RBAC) for Skype for Business Server 2015.

Записи управления доступом (ACE) и наследованиеAccess Control Entries (ACEs) and Inheritance

В процессе подготовки леса создаются частные и общедоступные записи ACE, а также создаются записи ACE универсальных групп при их добавлении.Forest preparation creates both private and public ACEs and, adding ACEs for the universal groups it creates. Он создает определенные частных элементов ACE для контейнера глобальные параметры, используемые Скайп для Business Server.It creates specific private ACEs on the global settings container used by Skype for Business Server. Этот контейнер используется только Скайп для Business Server и расположен в контейнере конфигурации или контейнера System корневого домена, в зависимости от того, где хранятся глобальные параметры.This container is used only by Skype for Business Server and is located either in the Configuration container or the System container in the root domain, depending on where you store global settings.

На этапе подготовки домена в универсальные группы добавляются необходимые записи управления доступом (ACE), которые предоставляют разрешения для размещения и управления пользователями в домене. При подготовке домена создаются записи ACE в корне домена и три встроенных контейнера: пользователи, компьютеры и контроллеры домена.The domain preparation step adds the necessary access control entries (ACEs) to universal groups that grant permissions to host and manage users within the domain. Domain preparation creates ACEs on the domain root and three built-in containers: User, Computers, and Domain Controllers.

Подробные сведения о Общие элементы управления доступом создан и добавлен, подготовка леса и подготовка домена см изменения, внесенные с подготовки леса в Скайп для Business Server и изменений, внесенных подготовки домена в Скайп для Business Server Документация по развертыванию.For details about the public ACEs created and added by forest preparation and domain preparation, see Changes made by forest preparation in Skype for Business Server and Changes made by domain preparation in Skype for Business Server in the Deployment documentation.

Организациях часто заблокируйте доменных служб Active Directory (AD DS) для снижения риска безопасности.Organizations often lock down Active Directory Domain Services (AD DS) to help mitigate security risks. Тем не менее заблокированной среде Active Directory можно ограничить разрешения, которые требуется Скайп для Business Server 2015.However, a locked-down Active Directory environment can limit the permissions that Skype for Business Server 2015 requires. Это может включать в себя записи ACE из контейнеров и подразделений, а также отключение разрешений наследования для объектов пользователя, контакта, InetOrgPerson или компьютеров.This can include removal of ACEs from containers and OUs and disabling of permissions inheritance on User, Contact, InetOrgPerson, or Computer objects. В заблокированной работу среды Active Directory, необходимо задать разрешения вручную контейнеры и подразделения, которые требуют их.In a locked down Active Directory environment, permissions must be set manually on containers and OUs that require them.

Информация о сервереServer Information

Во время активации Скайп для Business Server 2015 публикует сведения о сервере в трех следующих мест в доменных службах Active Directory:During activation, Skype for Business Server 2015 publishes server information to the three following locations in Active Directory Domain Services:

  • Подключение к службе точки подключения службы для каждого объекта Active Directory компьютера, соответствующий физического компьютера, на котором установлен Скайп для Business Server 2015.A service connection point (SCP) on each Active Directory computer object corresponding to a physical computer on which Skype for Business Server 2015 is installed.

  • объекты сервера, созданные в контейнере класса msRTCSIP-Pools;Server objects created in the container of the msRTCSIP-Pools class.

  • Доверенные серверы, указанных в построителе топологий.Trusted servers specified in Topology Builder.

Точки подключения службService Connection Points

Каждый Скайп для объекта Business Server 2015 в доменных службах Active Directory имеет точки подключения службы RTC-службами, который в свою очередь содержит несколько атрибутов, определяющих каждый компьютер и укажите службы, которые он содержит.Each Skype for Business Server 2015 object in Active Directory Domain Services has an SCP called RTC Services, which in turn contains a number of attributes that identify each computer and specify the services that it provides. Между более важных SCP атрибуты, serviceDNSName , serviceDNSNameType , serviceClassname и serviceBindingInformation .Among the more important SCP attributes are serviceDNSName , serviceDNSNameType , serviceClassname , and serviceBindingInformation . Сторонние приложения по управлению активами могут извлекать информацию о сервере в развертывании путем выдачи запросов по отношению этих и других атрибутов SCP.Third-party asset management applications can retrieve server information across a deployment by querying against these and other SCP attributes.

Объекты сервера Active DirectoryActive Directory Server Objects

Каждый Скайп для роли сервера Business Server 2015 имеет соответствующий Active Directory объекта атрибуты которого определение службы, предоставляемые этой роли.Each Skype for Business Server 2015 server role has a corresponding Active Directory object whose attributes define the services provided by that role. Кроме того при активации сервера Standard Edition или при создании пула Enterprise Edition, Скайп для Business Server 2015 создает новый объект msRTCSIP-Pool в контейнере MsRTCSIP пулов .Also, when a Standard Edition server is activated, or when an Enterprise Edition pool is created, Skype for Business Server 2015 creates a new msRTCSIP-Pool object in the msRTCSIP-Pools container. Класс msRTCSIP-Pool ** указывает полное доменное имя пула и сопоставление между компонентами переднего плана и встроенными компонентами пула.The **msRTCSIP-Pool class specifies the fully qualified domain name (FQDN) of the pool, along with the association between the front-end and back-end components of the pool. (Сервер Standard Edition рассматривается как логическая пула которого заканчивается переднего и заднего должны размещаться совместно на одном компьютере).(A Standard Edition server is regarded as a logical pool whose front and back ends are collocated on a single computer.)

Доверенные серверыTrusted Servers

В Скайп для Business Server 2015 доверенных серверов, указанных при выполнении Topology Builder и публикации топологии.In Skype for Business Server 2015, trusted servers are the ones specified when you run Topology Builder and publish your topology. Опубликованная топология, включая все сведения сервера, сохраняется в центральном хранилище управления.The published topology, including all the server information, is stored in the Central Management store. Только серверы, определенные в центральном хранилище управления, являются доверенными.Only servers defined in the Central Management store are trusted. В Скайп для Business Server 2015 доверенного сервера — это свойство, соответствуют следующим критериям:In Skype for Business Server 2015, a trusted server is one that meets the following criteria:

При отсутствии любого из этих критериев сервер не является доверенным, а при подключении приходит отказ.If either of these criteria is missing, the server is not trusted and connection with it is refused. Это требование двойная не позволяет это возможно, если вероятнее всего, не, атаки, в котором неавторизованный сервер пытается имеют перед полное доменное имя допустимого сервера.This double requirement prevents a possible, if unlikely, attack in which a rogue server attempts to take over a valid server's FQDN.

Кроме того чтобы включить Microsoft Office Communications Server 2007 R2 и развертывание Microsoft Office Communications Server 2007 для связи с Скайп для серверов Business Server 2015, Скайп для Business Server 2015 создает контейнеров во время леса Подготовка для удержания списки доверенных серверов для предыдущих выпусков.Additionally, to enable Microsoft Office Communications Server 2007 R2 and Microsoft Office Communications Server 2007 deployments to communicate with Skype for Business Server 2015 servers, Skype for Business Server 2015 creates containers during forest preparation for holding lists of trusted servers for previous releases. В таблице ниже описаны контейнеры, созданные для обеспечения совместимости с предыдущими развертываниями.The following table describes the containers created to enable compatibility with previous deployments.

Надежные списки сервера и их контейнеры Active Directory для обеспечения совместимости с предыдущими версиямиTrusted Server Lists and Their Active Directory Containers for Compatibility with Previous Releases

Список доверенных серверовTrusted server list Контейнер Active DirectoryActive Directory container
Серверы стандартного выпуска и серверы переднего плана пула EnterpriseStandard Edition servers and Enterprise pool Front End Servers
Служба RTC Service/глобальные параметрыRTC Service/Global Settings
Серверы для конференцийConferencing Servers
Служба RTC Service/доверенные MCURTC Service/Trusted MCUs
Серверы веб-компонентовWeb Components Servers
Служба RTC Service/доверенные серверы веб-компонентовRTC Service/TrustedWebComponentsServers
Серверы-посредники и серверы веб-клиента Communicator, сервер приложений, регистратор с качеством взаимодействия, служба аудио- и видеоконференции (а также сторонние серверы SIP)Mediation Servers and Communicator Web Access Servers, Application Server, Registrar with QoE, A/V Conferencing Service (also 3rd-party SIP servers)
Служба RTC Service/доверенные службыRTC Service/Trusted Services
Прокси-серверыProxy Servers
Скайп для Business Server 2015 не поддерживает обратной совместимости для прокси-серверовSkype for Business Server 2015 does not support backward compatibility for proxy servers