委派只读服务器管理
上一次修改主题: 2009-01-23
要以只读身份管理 Office Communications Server,用户必须在 DomainAdmins 组或 RTCUniversalReadOnlyAdmins 组中拥有帐户。某些组织不希望向只需要查看 Office Communications Server 的属性的用户或组授予 DomainAdmins 组的成员身份。可以选择将未授权的用户或组添加到 RTCUniversalReadOnlyAdmins 组或 RTCUniversalServerReadOnlyGroup,这两个组是对林中所有服务器都具有只读管理权限的通用组。通过委派只读服务器管理,可以向用户或组授予对特定 Office Communications Server 执行只读管理所需的部分权限。
只读服务器管理组中的成员身份对于在特定服务器上排除服务器问题非常有用。
委派只读服务器管理时,会授予下列权限:
- 对全局设置的读取权限。
- 对指定计算机组织单位 (OU) 的读取权限。
- 指定池中的所有服务器或本地 Standard Edition Server 上的 RTC Local Read-Only Administrators 组中的成员身份。
- 池或服务器实时通信 (RTC) 和 RTCConfig 数据库上的 ReadOnlyRole。
委派只读服务器管理
登录到要授予权限的域中的计算机。使用具有 RTCUniversalServerAdmins 和 DomainAdmins 或等效用户权限的帐户。
使用下面的命令:
LcsCmd /Domain[:<域 FQDN>] /Action:CreateDelegation /Delegation:ReadOnlyAdmin /TrusteeGroup:<将向其进行委派的通用组的名称> /TrusteeDomain:<受信任项组所在域的 FQDN> /ServiceAccount:<RTC 服务帐户名> /ComponentServiceAccount:<RTC 组件服务帐户名> /ComputerOU:<运行 Office Communications Server 的计算机对象所在 OU 或容器的 DN> /PoolName:<Standard Edition Server 或企业版池的名称> [/ExtraServers:<server1 的 FQDN, server2 的 FQDN>]其中:
TrusteeGroup 是要向其授予权限的组。
TrusteeDomain 是要在其中授予权限的域。
ServiceAccount 是 RTC 服务帐户名。
ComponentServiceAccount 是 RTC 组件服务帐户名。
ComputerOU 是 OU 的可分辨名称 (DN),该 OU 包含运行要向受信任项组授予对其只读管理权限的服务器的计算机。
PoolName 是受信任项组从中可执行只读服务器管理的 Standard Edition Server 或企业版池的名称,它将受信任项组添加到池中每台计算机的 Local Administrators 组以及 SQL Server 后端数据库的 ReadOnlyRole。
ExtraServers 是一些计算机的完全限定域名 (FQDN) 的逗号分隔列表,组需要访问这些计算机,但这些计算机不属于池。可以输入存档服务器、监控服务器(即呼叫详细信息记录 (CDR) 和用户体验质量 (QoE))、中介服务器的 FQDN 或边缘服务器的内部 FQDN(这是指边缘服务器为域边缘服务器时;如果边缘服务器在工作组中,则无法委派)。