委派安裝
上次修改主題的時間: 2009-07-20
有些組織不希望將 DomainAdmins 群組中的成員資格,授與負責部署 Office Communications Server 的使用者或群組。在此種情況下,您可以藉由委派安裝程式,授與這些使用者或群組必要的權限子集,以安裝及啟動執行 Office Communications Server 的伺服器。您可以藉由使用安裝部署工具 (用於 Enterprise Edition Server 合併設定的 SetupEE.exe,或用於 Standard Edition Server 的 SetupSE.exe) 或者 LcsCmd.exe 命令列工具,授與部署 Office Communications Server 的權限。
附註: |
---|
雖然本主題所說明的程序是授與設定權限,但信任者群組中的任何使用者也必須是電腦上系統管理員群組的成員,才能在該電腦上安裝及啟動 Office Communications Server。如果是 Enterprise Edition Server 安裝及啟動案例,信任者群組也必須是執行 Microsoft SQL Server 後端資料庫之電腦上系統管理員群組的成員。 |
Active Directory 服務介面 (ADSI) 編輯器是可用來尋找及複製需要在精靈中提供的辨別名稱的工具。如果是 Windows Server 2003,ADSI 編輯器包含在支援工具中。如果是 Windows Server 2008,則此工具會包含在遠端伺服器管理工具 (RSAT) 中。
如果是 Windows Server 2003,則可以從 Windows Server 2003 光碟的 \SUPPORT\TOOLS 資料夾中取得支援工具,或者從 Windows Server 2003 Service Pack 2 32 位元支援工具 (英文) 下載。從安裝 Windows 支援工具可取得從產品光碟安裝支援工具的指示。當您安裝支援工具時,就會自動登錄 Adsiedit.dll。不過,若您將檔案複製到電腦,則必須先執行 regsvr32 命令來登錄 adsiedit.dll 檔案,才能執行該工具。
如果是 Windows Server 2008,則預設 RSAT 套件會在您安裝 Windows 時複製到伺服器,但並不會安裝。您可以使用伺服器管理員來安裝個別的工具。「ADSI 編輯」包含在 [角色管理工具]、[Active Directory 網域服務工具]、[Active Directory 網域控制站工具] 之下。如需安裝遠端伺服器管理工具的詳細資料,請參閱安裝 Windows Server 2008 的遠端伺服器管理工具。
若要使用 Setup.exe 授與設定權限
使用網域管理員群組成員身分或具備同等使用者權限的帳戶,登入網域中您要授與權限的電腦。
從 Office Communications Server 安裝資料夾或光碟執行 SetupEE.exe (用於 Enterprise Edition Server 合併設定) 或 SetupSE.exe (用於 Standard Edition Server),以啟動部署工具。
按一下 [準備環境]。
按一下 [準備 Active Directory]。
按一下 [委派設定與管理]。
在 [委派設定工作] 中,按一下 [執行]。
在 [歡迎] 頁面上,按 [下一步]。
在 [授權群組] 頁面的 [選取信任者網域] 中,指定包含您要委派權限之群組的網域。
在 [現有群組的名稱] 中,輸入您要委派權限的群組名稱,然後按 [下一步]。
附註: 此群組必須是萬用群組或通用群組。它不可以是網域本機群組。 在 [要部署的電腦物件的位置] 頁面上,輸入組織單位 (OU) 的辨別名稱 (DN),或裝載即將部署 Office Communications Server 之電腦物件的容器。
附註: 您可以使用 ADSI 編輯工具瀏覽至該群組的內容,然後將該群組的 DN 複製並貼入精靈中。 在 [服務帳戶] 頁面上,輸入 Office Communications Server 將使用的工作階段初始通訊協定 (SIP) 服務帳戶和元件服務帳戶。
在 [準備執行安裝委派] 頁面上確認設定,然後按 [下一步]。
當精靈完成時,按一下 [完成]。
在每部要安裝 Office Communications Server 的伺服器上,以及執行任何 Enterprise Pool 的 SQL Server 後端資料庫伺服器之電腦上,將信任者群組新增到其中的 Local Administrators 群組。
如果在組織的 Active Directory 中,已經移除 Authenticated Users 安全性群組權限,您就必須將這個設定工作的新信任者群組加入 RTCUniversalServerAdmins 中,或將樹系根中下列容器的讀取權限手動授與信任者群組:
- 樹系根網域
- 樹系根網域系統容器
- 設定容器
- 進行委派權限之網域的根
- 電腦物件和服務帳戶物件的父容器
開啟命令提示字元,然後輸入
whoami.exe /all
,以確認使用者具有適當權限。輸出應該類似如下:Everyone Well-known group S-1-1-0 BUILTIN\Administrators Alias S-1-5-32-544 BUILTIN\Users Alias S-1-5-32-545 NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 NT AUTHORITY\This Organization Well-known group S-1-5-15 LOCAL Well-known group S-1-2-0 CONTOSO\RTCUniversalUserReadOnlyGroup Group S-1-5-21-4264192570- CONTOSO\RTCUniversalGlobalWriteGroup Group S-1-5-21-4264192570- CONTOSO\RTCUniversalGlobalReadOnlyGroup S-1-5-21-4264192570- CONTOSO\RTCUniversalServerReadOnlyGroup S-1-5-21-4264192570- CONTOSO\RTCSetupDelegate S-1-5-21-4264192570- CONTOSO\CERTSVC_DCOM_ACCESS Alias S-1-5-21-4264192570-
若要使用 LcsCmd.exe 授與權限
使用網域管理員群組成員身分或具備同等權限的帳戶,登入網域中執行 Office Communications Server 且您要授與權限的電腦。
開啟命令提示字元,然後輸入下列命令:
LCSCmd.exe /Domain[:<網域 FQDN>] /Action:CreateDelegation /Delegation:SetupAdmin /TrusteeGroup:<您要委派的目標萬用群組名稱> /TrusteeDomain:<信任者群組所在網域的 FQDN> /ServiceAccount:<RTC 服務帳戶名稱> /ComponentServiceAccount:<RTC 元件服務帳戶名稱> /ComputerOU:<執行 Office Communications Server 的電腦物件所在的 OU 或容器的 DN>
其中:
TrusteeGroup 是您要授與權限的目標群組。
TrusteeDomain 是信任者群組所在的網域。
ServiceAccount 是 Real-time Communications (RTC) 服務帳戶名稱。
ComponentServiceAccount 是 RTC 元件服務帳戶名稱。
ComputerOU 指定 OU 的 DN,此 OU 包含信任者群組可以執行 Office Communications Server 設定工作的電腦。
在每部您要安裝 Office Communications Server 的電腦上,以及執行任何 Enterprise Pool 之 SQL Server 後端資料庫伺服器的電腦上,將信任者群組新增到其中的 Local Administrators 群組。
如果在組織的 Active Directory 網域服務 (AD DS) 中已移除 Authenticated User 安全性群組權限,您必須將這個設定工作的新信任者群組加入 RTCUniversalServerAdmins 中,或將樹系根中下列容器的讀取權限手動授與信任者群組:
樹系根網域
樹系根網域系統容器
設定容器
進行委派權限之網域的根
電腦物件和服務帳戶物件的父容器
開啟命令提示字元,然後輸入
whoami.exe /all
,以確認使用者具有適當權限。輸出應該類似如下:Everyone Well-known group S-1-1-0 BUILTIN\Administrators Alias S-1-5-32-544 BUILTIN\Users Alias S-1-5-32-545 NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 NT AUTHORITY\This Organization Well-known group S-1-5-15 LOCAL Well-known group S-1-2-0 CONTOSO\RTCUniversalUserReadOnlyGroup Group S-1-5-21-4264192570- CONTOSO\RTCUniversalGlobalWriteGroup Group S-1-5-21-4264192570- CONTOSO\RTCUniversalGlobalReadOnlyGroup S-1-5-21-4264192570- CONTOSO\RTCUniversalServerReadOnlyGroup S-1-5-21-4264192570- CONTOSO\delegatedLSSetup Group S-1-5-21-4264192570- CONTOSO\CERTSVC_DCOM_ACCESS Alias S-1-5-21-4264192570-