Skype for Business Serverでのフォレストの準備によって行われた変更
このセクションでは、グローバル設定とオブジェクト、およびフォレストの準備手順によって作成されるユニバーサル サービスと管理グループについて説明します。
Active Directory のグローバル設定とオブジェクト
グローバル設定を構成コンテナーに格納する場合 (新しいSkype for Business Server展開の場合と同様)、フォレストの準備では既存の Services コンテナーが使用され、Configuration\Services オブジェクトの下に RTC サービス オブジェクトが追加されます。 RTC サービス オブジェクトの下に、フォレストの準備によって msRTCSIP-GlobalContainer 型の グローバル設定 オブジェクトが追加されます。 グローバル設定オブジェクトは、Skype for Business Server展開に適用されるすべての設定を保持します。 グローバル設定をシステム コンテナーに格納する場合、フォレストの準備では、ルート ドメインの System コンテナーの下にある Microsoft コンテナーと、System\Microsoft オブジェクトの下の RTC サービス オブジェクトが使用されます。
フォレストの準備では、プロシージャが実行されるルート ドメイン用の新しい msRTCSIP-Domain オブジェクトも追加されます。
Active Directory ユニバーサル サービスと管理グループ
フォレストの準備では、指定したドメインに基づいてユニバーサル グループが作成され、これらのグループのアクセス制御エントリ (ACE) が追加されます。 この手順では、指定したドメインのユーザー コンテナーにユニバーサル グループを作成します。
ユニバーサル グループを使用すると、管理者はグローバル設定とサービスにアクセスして管理できます。 フォレストの準備では、次の種類のユニバーサル グループが追加されます。
管理グループこれらのグループは、Skype for Business Server ネットワークの管理者ロールを定義します。
インフラストラクチャ グループこれらのグループは、Skype for Business Server インフラストラクチャの特定の領域にアクセスするためのアクセス許可を提供します。 これらは管理グループのコンポーネントとして機能します。 これらのグループを変更したり、ユーザーを直接追加したりしないでください。
サービス グループこれらのグループは、さまざまなSkype for Business Server サービスにアクセスするために必要なサービス アカウントです。
次の表では、管理グループについて説明します。
フォレストの準備中に作成された管理グループ
| 管理グループ | 説明 |
|---|---|
| RTCUniversalServerAdmins |
すべてのサーバー ロール、グローバル設定、ユーザーを含む、メンバーがサーバーとプールの設定を管理できるようにします。 |
| RTCUniversalUserAdmins |
メンバーがユーザー設定を管理し、あるサーバーまたはプールから別のサーバーまたはプールにユーザーを移動できるようにします。 |
| RTCUniversalReadOnlyAdmins |
メンバーがサーバー、プール、およびユーザー設定を読み取ることができます。 |
次の表では、インフラストラクチャ グループについて説明します。
フォレストの準備中に作成されたインフラストラクチャ グループ
| インフラストラクチャ グループ | 説明 |
|---|---|
| RTCUniversalGlobalWriteGroup |
Skype for Business Serverのグローバル設定オブジェクトへの書き込みアクセス権を付与します。 |
| RTCUniversalGlobalReadOnlyGroup |
Skype for Business Serverのグローバル設定オブジェクトへの読み取り専用アクセス権を付与します。 |
| RTCUniversalUserReadOnlyGroup |
Skype for Business Serverユーザー設定への読み取り専用アクセスを許可します。 |
| RTCUniversalServerReadOnlyGroup |
Skype for Business Server設定への読み取り専用アクセスを許可します。 このグループは、個々のサーバーに固有の設定に対してのみ、プール レベルの設定にアクセスできません。 |
| RTCUniversalSBATechnicians |
Skype for Business Server構成への読み取り専用アクセスを許可し、インストール中に存続可能なブランチ アプライアンスのローカル管理者グループに配置されます。 |
次の表では、サービス グループについて説明します。
フォレストの準備中に作成されたサービス グループ
| サービス グループ | 説明 |
|---|---|
| RTCHSUniversalServices |
フロントエンド サーバーと Standard Edition サーバーの実行に使用されるサービス アカウントが含まれます。 このグループを使用すると、サーバーはグローバル設定と Active Directory ユーザー オブジェクトSkype for Business Server読み取り/書き込みアクセスできます。 |
| RTCComponentUniversalServices |
A/V 会議サーバー、Web サービス、仲介サーバー、アーカイブ サーバー、監視サーバーの実行に使用されるサービス アカウントが含まれます。 |
| RTCProxyUniversalServices |
Skype for Business Serverエッジ サーバーの実行に使用されるサービス アカウントが含まれます。 |
| RTCUniversalConfigReplicator |
中央管理ストアのレプリケーションに参加できるサーバー Skype for Business Server含まれます。 |
| RTCSBAUniversalServices |
Skype for Business Server設定への読み取り専用アクセスを許可しますが、存続可能なブランチ サーバーと存続可能なブランチ アプライアンス展開のインストールを構成できます。 |
次に、フォレストの準備により、サービスグループと管理グループが適切なインフラストラクチャ グループに追加されます。
RTCUniversalServerAdmins は、RTCUniversalGlobalReadOnlyGroup、RTCUniversalGlobalWriteGroup、RTCUniversalServerReadOnlyGroup、RTCUniversalUserReadOnlyGroup に追加されます。
RTCUniversalUserAdmins は、RTCUniversalGlobalReadOnlyGroup、RTCUniversalServerReadOnlyGroup、RTCUniversalUserReadOnlyGroup のメンバーとして追加されます。
RTCHSUniversalServices、RTCComponentUniversalServices、RTCUniversalReadOnlyAdmins は、RTCUniversalGlobalReadOnlyGroup、RTCUniversalServerReadOnlyGroup、RTCUniversalUserReadOnlyGroup のメンバーとして追加されます。
フォレストの準備では、次のロールベースのアクセス制御 (RBAC) グループも作成されます。
CSAdministrator
CSArchivingAdministrator
CSHelpDesk
CSLocationAdministrator
CSResponseGroupAdministrator
CSServerAdministrator
CSUserAdministrator
CSViewOnlyAdministrator
CSVoiceAdministrator
CsPersistentChatAdministator
CsResponseGroupManager
RBAC ロールと、それぞれに許可されるタスクの詳細については、計画ドキュメントの「ロールベースのAccess Control」を参照してください。
フォレストの準備では、プライベート ACE とパブリック ACE の両方が作成されます。 Skype for Business Serverによって使用されるグローバル設定コンテナーにプライベート ACE が作成されます。 このコンテナーはSkype for Business Serverでのみ使用され、グローバル設定を格納する場所に応じて、構成コンテナーまたはルート ドメインのシステム コンテナーに配置されます。 フォレストの準備によって作成されたパブリック ACE を次の表に示します。
フォレストの準備によって作成されたパブリック ACE
| エース | RTCUniversalGlobalReadOnlyGroup |
|---|---|
| ルート ドメインのシステム コンテナーの読み取り (継承されていません) \* |
X |
| 構成の DisplaySpecifiers コンテナーを読み取ります (継承されません) |
X |
注意
\*継承されない ACE は、これらのコンテナーの下の子オブジェクトへのアクセスを許可しません。 継承された ACE は、これらのコンテナーの下の子オブジェクトへのアクセスを許可します。
構成コンテナーの [構成] の名前付けコンテキストで、フォレストの準備で次のタスクが実行されます。
ユーザー、連絡先、InetOrgPersons の言語表示指定子の adminContextMenu 属性と adminPropertyPages 属性の下に RTC プロパティ ページの {AB255F23-2DBD-4bb6-891D-38754AC280EF} というエントリを追加します (例: CN=user-Display,CN=409,CN=DisplaySpecifiers)。
ユーザー クラスと連絡先クラスに適用される Extended-Rights の下に、controlAccessRight 型の RTCPropertySet オブジェクトを追加します。
ユーザー、連絡先、OU、および DomainDNS クラスに適用される Extended-Rights の下に、controlAccessRight 型の RTCUserSearchPropertySet オブジェクトを追加します。
各言語組織単位 (OU) 表示指定子 (CN=organizationUnit-Display、CN=409、CN=DisplaySpecifiers など) の extraColumns 属性の下に msRTCSIP-PrimaryUserAddress を追加し、既定のディスプレイの extraColumns 属性の値 (CN=default-Display、CN=409、CN=DisplaySpecifiers など) をコピーします。
Users、Contacts、InetOrgPerson オブジェクトの各言語表示指定子の attributeDisplayNames 属性の下に、msRTCSIP-PrimaryUserAddress、msRTCSIP-PrimaryHomeServer、および msRTCSIP-UserEnabled フィルター属性を追加します (英語: CN=user-Display、CN=409、CN=DisplaySpecifiers など)。