Share via

  • Artículo

Delegar la configuración

Última modificación del tema: 2009-07-20

Algunas organizaciones no desean otorgar la pertenencia al grupo Admins. del dominio a los usuarios o grupos que implementan Office Communications Server. En este caso, delegar la instalación proporciona una manera de conceder a estos usuarios o grupos el subconjunto de permisos necesarios para instalar y activar servidores que ejecutan Office Communications Server. Puede conceder permisos para implementar Office Communications Server utilizando la herramienta de implementación de la instalación (SetupEE.exe para la configuración consolidada del servidor Enterprise Edition o SetupSE.exe para el servidor Standard Edition) o la herramienta de la línea de comandos LcsCmd.exe.

Nota

Aunque en el proceso descrito en este tema se conceden permisos de instalación, cualquier usuario del grupo de confianza también debe ser miembro del grupo Administradores en un equipo para instalar y activar Office Communications Server en dicho equipo. Para los casos de instalación y activación del servidor Enterprise Edition, el grupo de confianza debe ser también miembro del grupo Administradores en el equipo que ejecuta la base de datos back-end de Microsoft SQL Server.

El editor de interfaces ADSI es una herramienta que puede utilizar para buscar y copiar el nombre distintivo (DN) que necesita proporcionar en el asistente. Para Windows Server 2003, el editor ADSI se incluye con las herramientas de soporte. En Windows Server 2008, esta herramienta se incluye con las Herramientas de administración remota del servidor (RSAT).

En Windows Server 2003, las herramientas de soporte están disponibles en el CD de Windows Server 2003 en la carpeta \SUPPORT\TOOLS o puede descargarlas en Herramientas de soporte técnico de Windows Server 2003 Service Pack 2 de 32 bits (en inglés). Las instrucciones para instalar las herramientas de soporte desde el CD del producto se encuentran en Instalar las herramientas de soporte de Windows (en inglés). Adsiedit.dll se registra automáticamente al instalar las herramientas de soporte. Si, sin embargo, copió los archivos en su equipo, debe ejecutar el comando regsvr32 para registrar el archivo adsiedit.dll para poder ejecutar la herramienta.

En Windows Server 2008, el paquete de RSAT se copia de forma predeterminada en el servidor al instalar Windows, pero no se instala de forma predeterminada. Las distintas herramientas se instalan con el Administrador de servidores. El editor ADSI se incluye en Herramientas de administración de funciones, Herramientas de los Servicios de dominio de Active Directory, Herramientas del controlador de dominio de Active Directory. Para obtener información detallada sobre cómo instalar las Herramientas de administración remota del servidor, vea Instalar las herramientas de administración de servidor remoto para Windows Server 2008.

Para utilizar Setup.exe para conceder permisos de instalación

  1. Inicie sesión en el equipo del dominio donde desea conceder los permisos. Utilice una cuenta que sea miembro del grupo Admins. del dominio o que tenga derechos de usuario equivalentes.

  2. Desde la carpeta o el CD de instalación de Office Communications Server, ejecute SetupEE.exe (para la configuración consolidada del servidor Enterprise Edition) o SetupSE.exe (para el servidor Standard Edition) para iniciar la herramienta de implementación.

  3. Haga clic en Preparar entorno.

  4. Haga clic en Preparar Active Directory.

  5. Haga clic en Delegar la configuración y administración.

  6. En Delegar tareas de configuración, haga clic en Ejecutar.

  7. En la página de bienvenida, haga clic en Siguiente.

  8. En la página Autorizar al grupo, en Seleccionar dominio de confianza, especifique el dominio que contiene el grupo al que desea delegar permisos.

  9. En Nombre del grupo existente, escriba el nombre del grupo al que desea delegar permisos y, a continuación, haga clic en Siguiente.

    Nota

    Este grupo debe ser universal o local. No puede ser un grupo local de dominio.

  10. En la página Ubicación de los objetos del equipo para la implementación, escriba el nombre distintivo (DN) de la unidad organizativa (OU) o contenedor que hospeda los objetos del equipo en que se va a implementar Office Communications Server.

    Nota

    Puede utilizar la herramienta editor ADSI para navegar a las propiedades del grupo y, a continuación, copiar y pegar el DN del grupo en el asistente.

  11. En la página Cuenta de servicio, escriba la cuenta de servicio del Protocolo de inicio de sesión (SIP) y la cuenta de servicio de componentes que utilizará Office Communications Server.

  12. En la página Listo para configurar la delegación, compruebe la configuración y, a continuación, haga clic en Siguiente.

  13. Una vez completado el asistente, haga clic en Finalizar.

  14. Agregue el nuevo grupo de confianza al grupo Administradores locales de cada servidor donde desea instalar Office Communications Server y el equipo que ejecuta el servidor de base de datos back-end de SQL Server de los grupos de servidores Enterprise.

  15. Si se han quitado en su organización los permisos del grupo de seguridad Usuarios autenticados de Active Directory, debe agregar el nuevo grupo de confianza para tareas de instalación a RTCUniversalServerAdmins o conceder manualmente permisos de lectura al grupo de confianza para los siguientes contenedores de la raíz del bosque:

    • Dominio raíz del bosque
    • Contenedor del sistema del dominio raíz del bosque
    • Contenedor de configuración
    • Raíz del dominio donde se delegan los permisos
    • Contenedores principales de objetos de equipo y objetos de cuenta de servicio

  16. Abra un símbolo del sistema y escriba whoami.exe /all para comprobar que el usuario tiene los permisos adecuados. El resultado debería ser similar al siguiente:

    Everyone                                           Well-known group S-1-1-0  
BUILTIN\Administrators                             Alias S-1-5-32-544        
BUILTIN\Users                                      Alias S-1-5-32-545        
NT AUTHORITY\INTERACTIVE                           Well-known group S-1-5-4  
NT AUTHORITY\Authenticated Users                   Well-known group S-1-5-11
NT AUTHORITY\This Organization                     Well-known group S-1-5-15 
LOCAL                                              Well-known group S-1-2-0 
CONTOSO\RTCUniversalUserReadOnlyGroup Group       S-1-5-21-4264192570- 
CONTOSO\RTCUniversalGlobalWriteGroup Group        S-1-5-21-4264192570- 
CONTOSO\RTCUniversalGlobalReadOnlyGroup           S-1-5-21-4264192570- 
CONTOSO\RTCUniversalServerReadOnlyGroup           S-1-5-21-4264192570- 
CONTOSO\RTCSetupDelegate                          S-1-5-21-4264192570- 
CONTOSO\CERTSVC_DCOM_ACCESS Alias                 S-1-5-21-4264192570-

Para utilizar LcsCmd.exe con el objeto de conceder permisos

  1. Inicie sesión en un equipo que ejecute Office Communications Server en el dominio donde desea conceder los permisos. Utilice una cuenta que sea miembro del grupo Admins. del dominio o que tenga credenciales equivalentes.

  2. Abra un símbolo del sistema y escriba el siguiente comando:

    LCSCmd.exe /Domain[:<FQDN de dominio>] 
/Action:CreateDelegation /Delegation:SetupAdmin 
/TrusteeGroup:<nombre del grupo universal al que delegará> 
/TrusteeDomain:<FQDN del dominio donde reside el grupo de confianza>
/ServiceAccount:<nombre de la cuenta de servicio RTC>
/ComponentServiceAccount:<nombre de la cuenta de servicio del componente RTC>
/ComputerOU:<DN de la OU o el contenedor donde residen los objetos del equipo que ejecutarán Office Communications Server>

    Donde:

    TrusteeGroup es el grupo al que va a conceder los permisos.

    TrusteeDomain es el dominio en el que reside el grupo de confianza.

    ServiceAccount es el nombre de la cuenta del servicio Comunicaciones en tiempo real (RTC).

    ComponentServiceAccount es el nombre de la cuenta de servicio del componente RTC.

    ComputerOU especifica el DN de la unidad organizativa que contiene los equipos en los que el grupo de confianza puede ejecutar las tareas de instalación de Office Communications Server.

  3. Agregue el nuevo grupo de confianza al grupo Administradores locales de cada equipo donde desea instalar Office Communications Server y el equipo que ejecuta el servidor de base de datos back-end de SQL Server de los grupos de servidores Enterprise.

  4. Si se han quitado en su organización los permisos del grupo de seguridad Usuarios autenticados de Servicios de dominio de Active Directory (AD DS), debe agregar el nuevo grupo de confianza para tareas de instalación a RTCUniversalServerAdmins o conceder manualmente permisos de lectura al grupo de confianza para los siguientes contenedores de la raíz del bosque:

    • Dominio raíz del bosque

    • Contenedor del sistema del dominio raíz del bosque

    • Contenedor de configuración

    • Raíz del dominio donde se delegan los permisos

    • Contenedores principales de objetos de equipo y objetos de cuenta de servicio

    • Abra un símbolo del sistema y escriba whoami.exe /all para comprobar que el usuario tiene los permisos adecuados. El resultado debería ser similar al siguiente:

      Everyone                                           Well-known group S-1-1-0  
BUILTIN\Administrators                             Alias S-1-5-32-544        
BUILTIN\Users                                      Alias S-1-5-32-545        
NT AUTHORITY\INTERACTIVE                           Well-known group S-1-5-4  
NT AUTHORITY\Authenticated Users                   Well-known group S-1-5-11
NT AUTHORITY\This Organization                     Well-known group S-1-5-15 
LOCAL                                              Well-known group S-1-2-0 
CONTOSO\RTCUniversalUserReadOnlyGroup Group       S-1-5-21-4264192570- 
CONTOSO\RTCUniversalGlobalWriteGroup Group        S-1-5-21-4264192570- 
CONTOSO\RTCUniversalGlobalReadOnlyGroup           S-1-5-21-4264192570- 
CONTOSO\RTCUniversalServerReadOnlyGroup           S-1-5-21-4264192570- 
CONTOSO\delegatedLSSetup Group                    S-1-5-21-4264192570- 
CONTOSO\CERTSVC_DCOM_ACCESS Alias                 S-1-5-21-4264192570-