Share via

  • Artikel

Delegieren der Serververwaltung mit Leseberechtigung

Letztes Änderungsdatum des Themas: 2009-01-23

Benutzer, die Server mit Office Communications Server nur über schreibgeschützten Zugriff verwalten sollen, müssen über ein Konto in der Gruppe Domänen-Admins bzw. RTCUniversalReadOnlyAdmins verfügen. Manche Organisationen möchten Benutzern oder Gruppen, die lediglich die Eigenschaften der Server von Office Communications Server anzeigen müssen, keine Mitgliedschaft in der Gruppe Domänen-Admins gewähren. Sie können RTCUniversalReadOnlyAdmins bzw. RTCUniversalServerReadOnlyGroup nicht autorisierte Benutzer und Gruppen hinzufügen. Dabei handelt es sich um universelle Gruppen, die über Administratorberechtigungen mit Lesezugriff für alle Server in der Gesamtstruktur verfügen. Indem Sie die Serververwaltung mit Leseberechtigung delegieren, können Sie einem Benutzer bzw. einer Gruppe die Teilberechtigungen zuweisen, die zur schreibgeschützten Verwaltung eines bestimmten Office Communications Server-Computers erforderlich sind.

Die Mitgliedschaft in einer Serververwaltungsgruppe mit Lesezugriff eignet sich für die Behebung von Serverproblemen auf einem bestimmten Server.

Beim Delegieren der schreibgeschützten Serververwaltung gewähren Sie folgende Berechtigungen:

  • Leseberechtigung für globale Einstellungen
  • Leseberechtigung für eine bestimmte Computer-Organisationseinheit
  • Mitgliedschaft in der Gruppe RTC Local Read-Only Administrators auf allen Servern in einem bestimmten Pool oder auf dem lokalen Standard Edition-Server
  • Schreibgeschützte Rolle für die RTC- (Real-Time Communications) und RTCConfig-Datenbanken im Pool bzw. auf dem Server

So delegieren Sie die Serververwaltung mit Leseberechtigung

  1. Melden Sie sich bei einem Computer in der Domäne an, in der Sie Berechtigungen gewähren möchten. Verwenden Sie ein Konto, das Mitglied der Gruppe RTCUniversalServerAdmins und DomainAdmins ist oder über gleichwertige Benutzerrechte verfügt.

  2. Führen Sie den folgenden Befehl aus:

    LcsCmd /Domain[:<vollqualifizierter Domänenname>] /Action:CreateDelegation 
/Delegation:ReadOnlyAdmin /TrusteeGroup:<Name der universellen Gruppe, an die delegiert wird> 
/TrusteeDomain:<vollqualifizierter Name der Domäne, in der sich die Vertrauensnehmergruppe befindet> 
/ServiceAccount:<RTC-Dienstkontoname>
/ComponentServiceAccount:<Dienstkontoname der RTC-Komponente>
/ComputerOU:<definierter Name der Organisationseinheit bzw. des Containers mit den Computerobjekten, auf denen Office Communications Server ausgeführt wird>
/PoolName:<Name eines Standard Edition-Servers oder eines Enterprise-Pools>
[/ExtraServers:<vollqualifizierter Domänenname von server1, vollqualifizierter Domänenname von server2>]

    Hierbei gilt Folgendes:

    TrusteeGroup ist die Gruppe, der Sie Berechtigungen gewähren möchten.

    TrusteeDomain ist die Domäne, in der Sie Berechtigungen gewähren möchten.

    ServiceAccount ist der Name des RTC-Dienstkontos.

    ComponentServiceAccount ist der Name des RTC-Komponentendienstkontos.

    ComputerOU gibt den definierten Namen (DN) der Organisationseinheit (Organisational Unit, OU) mit dem Computer an, auf dem der Server, für den Sie der Vertrauensnehmergruppe Administratorberechtigungen mit Lesezugriff gewähren, ausgeführt wird.

    PoolName gibt den Namen des Standard Edition-Servers bzw. Enterprise-Pools an, auf bzw. in dem die Vertrauensnehmergruppe Serververwaltungsaufgaben mit Leseberechtigung durchführen darf. Die Vertrauensnehmergruppe wird der Gruppe der lokalen Administratoren auf allen Computern im Pool sowie zur ReadOnlyRole der SQL Server-Back-End-Datenbanken hinzugefügt.

    ExtraServers ist eine durch Kommas getrennte Liste mit den vollqualifizierten Domänennamen (Fully Qualified Domain Names, FQDNs) aller Computer, auf die die Gruppe zugreifen muss, die jedoch nicht Teil des Pools sind. Sie können den vollqualifizierten Domänennamen von Archivierungsservern, Monitoring Servern – d. h. Aufzeichnung von Kommunikationsdatensätzen (KDS) und Quality of Experience (QoE) –, Vermittlungsservern oder den internen vollqualifizierten Domänennamen von Edgeservern eingeben (falls es sich bei den Edgeservern um Domänen-Edgeserver handelt; sie können nicht delegiert werden, wenn diese sich in einer Arbeitsgruppe befinden).