Delegar la administración de servidores de solo lectura
Última modificación del tema: 2009-01-23
Para la administración de sólo lectura de los servidores de Office Communications Server, el usuario debe tener una cuenta en el grupo Admins. del dominio o en el grupo RTCUniversalReadOnlyAdmins. Algunas organizaciones no desean otorgar pertenencia en el grupo Admins. del dominio a usuarios o grupos que sólo necesitan ver las propiedades de Office Communications Server. Puede elegir agregar a los usuarios o grupos no autorizados al grupo RTCUniversalReadOnlyAdmins o al grupo RTCUniversalServerReadOnlyGroup, que son grupos universales que tienen permisos de administración de solo lectura en todos los servidores del bosque. Al delegar la administración de servidores de solo lectura, puede conceder a un usuario o a un grupo el subconjunto de permisos requeridos para llevar a cabo la administración de solo lectura en un servidor de Office Communications Server específico.
La pertenencia a un grupo de administración de servidores de sólo lectura puede ser útil para solucionar problemas de servidor en un servidor concreto.
Al delegar la administración de servidores de solo lectura, se conceden los siguientes permisos:
- Permiso de lectura a la configuración global.
- Permiso de lectura en una unidad organizativa (OU) específica del equipo.
- Pertenencia al grupo RTC Local Read-Only Administrators en todos los servidores del grupo de servidores especificado o en el servidor Standard Edition local.
- ReadOnlyRole en las bases de datos de Comunicaciones en tiempo real (RTC) y RTCConfig del servidor o grupo de servidores.
Para delegar la administración de servidores de solo lectura
Inicie sesión en un equipo del dominio donde desea conceder los permisos. Utilice una cuenta que tenga derechos de usuario de RTCUniversalServerAdmins y Admins. del dominio o equivalentes.
Use el siguiente comando:
LcsCmd /Domain[:<FQDN del dominio>] /Action:CreateDelegation /Delegation:ReadOnlyAdmin /TrusteeGroup:<nombre del grupo universal en el que va a delegar> /TrusteeDomain:<FQDN del dominio donde reside el grupo de confianza> /ServiceAccount:<nombre de la cuenta de servicio RTC> /ComponentServiceAccount:<nombre de la cuenta de servicio del componente RTC> /ComputerOU:<DN de la unidad organizativa o contenedor donde residen los objetos de equipo que ejecutan Office Communications Server> /PoolName:<Nombre de un servidor Standard Edition o grupo de servidores Enterprise> [/ExtraServers:<FQDN de servidor1, FQDN de servidor2>]Donde:
TrusteeGroup es el grupo al que va a conceder los permisos.
TrusteeDomain es el dominio en el que se conceden los permisos.
ServiceAccount es el nombre de la cuenta de servicio RTC.
ComponentServiceAccount es el nombre de la cuenta de servicio del componente RTC.
ComputerOU es el nombre distintivo (DN) de la OU que contiene el equipo que ejecuta el servidor al que se conceden los permisos administrativos de sólo lectura del grupo de confianza.
PoolName es el nombre del servidor Standard Edition o del grupo de servidores Enterprise en el que el grupo de confianza puede realizar administración de servidor de solo lectura, y agrega el grupo de confianza al grupo de Administradores locales de cada equipo del grupo de servidores y a la función ReadOnlyRole de las bases de datos back-end de SQL Server.
ExtraServers es una lista separada por comas de nombres de dominio completos (FQDN) de los equipos a los que el grupo requiere acceso pero que no forman parte del grupo de servidores. Puede escribir el FQDN de servidores de archivado, servidores de supervisión (es decir, Registro de detalles de llamadas [CDR] y Calidad de la experiencia [QoE]), servidores de mediación o el FQDN interno de servidores perimetrales (es decir, si los servidores perimetrales son servidores perimetrales del dominio; si están en un grupo de trabajo, no se pueden delegar).