Active Directory 網域服務
上次修改主題的時間: 2009-12-17
Active Directory 網域服務 (在 Windows Server 2003 中稱為 Active Directory) 是 Windows Server 2003 和 Windows Server 2008 網路的目錄服務。Active Directory 網域服務也是建置 Office Communications Server 2007 R2 安全性基礎結構的基礎。本節的目的在於說明 Office Communications Server 如何使用 Active Directory 網域服務,為 IM、Web 會議、媒體和語音建立值得信任的環境。如需 Active Directory 網域服務的 Office Communications Server 延伸以及為 Active Directory 網域服務準備環境的詳細資訊,請參閱為 Office Communications Server 2007 R2 準備 Active Directory 網域服務。如需 Active Directory 網域服務在 Windows Server 2003 和 Windows Server 2008 網路中所扮演角色的詳細資訊,請參閱 Windows Server 2003 或 Windows Server 2008 說明文件。
Office Communications Server 2007 R2 使用 Active Directory 網路服務儲存:
- 樹系中所有 Office Communications Server 2007 R2 伺服器需要的通用設定。
- 可識別樹系中所有 Office Communications Server 2007 R2 伺服器角色的服務資訊。
- 使用者設定。
Active Directory 網域服務準備工作
.gif "Dd572770.note(zh-tw,office.13).gif") 附註: |
|---|
| 建議您透過系統容器將通用設定部署到設定容器。如果您是從舊版移轉而且已使用系統容器,但是現在打算使用設定容器,則在進行任何升級準備工作「之前」,「必須」先移動系統容器中的設定。若要將您的系統容器設定移轉至設定容器,請參閱<Microsoft Office Communications Server 2007 通用設定移轉工具>(英文),網址為 https://go.microsoft.com/fwlink/?LinkId=145236。 |
部署 Office Communications Server 時,第一個步驟是準備 Active Directory 網域服務。為 Office Communications Server 準備 Active Directory 網域服務包含下列三個步驟:
- 準備架構:這項工作會擴充 Active Directory 網域服務中的架構,以包含 Office Communications Server 2007 R2 專用的類別和屬性。準備架構只能由架構管理員或架構主機上的本機系統管理員執行。
- 準備樹系:這項工作會在樹系根網域中建立通用設定和物件,以及控管這些設定和物件存取權的萬用服務和系統管理群組。
- 準備網域:這項工作會將必要的存取控制項目 (ACE) 新增至萬用群組,而這些群組會授與權限來裝載和管理網域內的使用者。凡是您要部署 Office Communications Server 的所有網域,以及您 Office Communications Server 使用者所屬的任何網域,都必須執行「準備網域」。
如需這些 Active Directory 準備步驟的詳細資訊,請參閱為 Office Communications Server 2007 R2 準備 Active Directory 網域服務。
萬用群組
在準備樹系期間,Office Communications Server 會在擁有存取及管理通用設定和服務權限的 Active Directory 網域服務內,建立各種萬用群組。這些萬用群組包括:
- 系統管理群組:這些群組定義 Office Communications Server 網路的基本系統管理員角色。在準備樹系期間,這些系統管理員群組會新增到 Office Communications Server 的基礎結構群組。
- 基礎結構群組:這些群組提供了存取 Office Communications Server 基礎結構中特定區域的權限。其功能就如系統管理群組的元件,因此您不應修改這些群組或直接將使用者新增到其中。
- 服務群組:這些群組是存取 Office Communications Server 所提供各種服務時所需的服務帳戶。
下表說明 Office Communications Server 萬用群組及其權限。
表 1. Office Communications Server 2007 R2 建立的萬用群組
| 系統管理群組 | 權限 |
|---|---|
RTCUniversalServerAdmins |
管理樹系中所有 Office Communications Server 物件和設定,包括所有伺服器角色、通用設定和使用者。 |
RTCUniversalUserAdmins |
管理樹系中所有啟用 Office Communications Server 的使用者。 |
RTCUniversalReadOnlyAdmins |
對所有伺服器和使用者的唯讀存取權。 |
基礎結構群組 |
權限 |
RTCUniversalGlobalReadOnlyGroup |
對通用設定的唯讀存取權。 |
RTCUniversalGlobalWriteGroup |
對通用設定的寫入存取權。 |
RTCUniversalUserReadOnlyGroup |
對使用者設定的唯讀存取權。 |
RTCUniversalServerReadOnlyGroup |
對伺服器設定的唯讀存取權。 |
服務群組 |
權限 |
RTCHSUniversalServices |
用來執行 Office Communications Server 2007 R2 Standard Edition 伺服器和 Enterprise Edition 前端伺服器的服務帳戶。這個群組會授權這些伺服器讀取和寫入通用設定和使用者物件。 |
RTCArchivingUniversalServices |
用來執行 Office Communications Server 2007 R2 封存伺服器及存取服務資料庫的服務帳戶。 |
RTCProxyUniversalServices |
用來執行 Office Communications Server 2007 R2 Proxy 伺服器的服務帳戶。 |
RTCComponentsUniversalServices |
用來執行 Office Communications Server 2007 R2 會議伺服器、Web 元件伺服器和中繼伺服器的服務帳戶。 |
RTCUniversalGuestAccessGroup |
會議之會議內容的唯讀存取權。這個群組可供擁有 Active Directory 認證並從遠端連線的內部使用者使用,也可供沒有 Active Directory 認證的外部使用者使用。 |
伺服器資訊
在啟動期間,Office Communications Server 會將伺服器資訊發佈到 Active Directory 網域服務中的下列三個位置:
- 每一個 Active Directory 電腦物件上的服務連線點 (SCP),可對應至安裝 Office Communications Server 所在的實體電腦。
- msRTCSIP-Pools 類別容器中建立的伺服器物件。
- 信任的伺服器清單。
服務連線點
Active Directory 網域服務中的每一個 Office Communications Server 物件都有一個稱為「RTC 服務」的 SCP,其中包含許多屬性,可識別每一部電腦並指定其提供的服務。其中較重要的 SCP 屬性包括 serviceDNSName、serviceDNSNameType、serviceClassname 和 serviceBindingInformation。協力廠商資產管理應用程式可以透過查詢 SCP 屬性,在部署中擷取伺服器資訊。
Active Directory 伺服器物件
每一個 Office Communications Server 角色都有對應的 Active Directory 物件,其屬性定義該角色提供的服務。啟動 Standard Edition 伺服器時,或是建立 Enterprise Edition 集區時,Office Communications Server 會在 msRTCSIP-Pools 容器中建立新的 msRTCSIP-Pool 物件。msRTCSIP-Pool 類別會指定集區的完整網域名稱 (FQDN),以及集區前端和後端元件之間的關聯性。Standard Edition 伺服器會視為邏輯集區,其前端和後端會配置在同一部電腦上。
受信任的伺服器清單
在準備樹系期間,Office Communications Server 會建立保存受信任伺服器清單的容器。在啟動期間,Office Communications Server 會將每一部伺服器的 FQDN 發佈到適當的容器。信任的伺服器是符合下列條件的伺服器:
- 伺服器的 FQDN 出現在 Active Directory 網域服務保存的其中一個受信任伺服器清單中,如前一節所述。
- 伺服器會提供受信任 CA 核發的有效憑證。此憑證上的 FQDN,符合其中一個受信任伺服器清單中該伺服器的 FQDN。如需 Office Communications Server 如何使用憑證的詳細資訊,請參閱Office Communications Server 2007 R2 的公開金鑰基礎結構。
如果不符合這些條件,則伺服器就不受信任,其連線也會遭拒。這項雙重需求能避免惡意伺服器嘗試佔用有效伺服器 FQDN 的可能 (即使不太可能) 攻擊。
與舊版 Live Communications Server 相較,能夠使用多個受信任伺服器清單是一項重大突破,因為舊版只有一個信任的伺服器清單。清單中的每一部伺服器都是以 [通用設定] 容器中全域唯一識別碼 (GUID) 表示。Office Communications Server 2007 R2 中加入新伺服器角色之後,就會定義新容器,以保存不同伺服器角色的 GUID。下表顯示這些新容器及各自的受信任伺服器清單。
表 2. 受信任的伺服器清單及其 Active Directory 容器
| 受信任的伺服器清單 | Active Directory 容器 |
|---|---|
Standard Edition 伺服器和 Enterprise 集區前端伺服器 |
RTC 服務/通用設定 |
會議伺服器 |
RTC 服務/信任的 MCU |
Web 元件伺服器 |
RTC 服務/TrustedWebComponentsServers |
中繼伺服器和 Communicator Web Access Server (以及協力廠商 SIP 伺服器) |
RTC 服務/信任的服務 |
Proxy 伺服器 |
RTC 服務/受信任的 Proxy |
受信任的伺服器清單會複製同樣可在個別 Office Communications Server 物件上找到的 FQDN 項目。重複的目的在於避免可能發生的受信任伺服器詐騙。因為 Active Directory 網域服務允許個別使用者修改對應其個人電腦的電腦物件上的屬性,這種情況確實可能出現。大部分組織不允許使用者在其工作電腦上進行這類修改,但是受信任的伺服器清單僅允許 RTCUniversalServerAdmins 的成員進行這類修改,藉此額外增加一層安全性。