Article
03/23/2012

Conditions requises en matière de comptes et d'autorisations

Dernière rubrique modifiée : 2009-04-01

Pour Office Communications Server 2007 R2, les exigences de sécurité suivantes doivent être respectées :

Informations d'identification d'administrateur
Niveaux de sécurité
Sécurité de la passerelle multimédia

Informations d'identification d'administrateur

Le tableau suivant indique les autorisations requises pour le déploiement des rôles de serveur.

Remarque :
Par défaut, seuls les membres du groupe Administrateurs du domaine peuvent déployer ou activer un serveur joint à un domaine Active Directory. Si vous ne souhaitez pas octroyer ce niveau de privilèges au groupe ou aux utilisateurs chargés du déploiement d'Office Communications Server, vous pouvez faire appel à l'Assistant Installation de la délégation pour accorder les autorisations requises à un groupe d'utilisateurs spécifique.

Par défaut, seuls les membres du groupe Administrateurs du domaine peuvent déployer ou activer un serveur joint à un domaine Active Directory. Si vous ne souhaitez pas octroyer ce niveau de privilèges au groupe ou aux utilisateurs chargés du déploiement d'Office Communications Server, vous pouvez faire appel à l'Assistant Installation de la délégation pour accorder les autorisations requises à un groupe d'utilisateurs spécifique.

Tableau 1. Autorisations administrateur requises pour les tâches de déploiement

Procédure	Informations d'identification ou rôles d'administrateur requis
Standard Edition
Installer les logiciels requis	Groupe RTCUniversalServerAdmins Groupe Administrateurs du domaine
Préparer les services de domaine Active Directory	Membre du groupe Administrateurs du schéma et droits d'administration sur le contrôleur de schéma Membre du groupe Administrateurs de l'entreprise pour le domaine racine de la forêt Membre du groupe Administrateurs de l'entreprise ou Administrateurs du domaine
Préparer Windows pour l'installation	Groupe Administrateurs
Créer et vérifier les enregistrements DNS	Groupe Administrateurs DNS
Déployer et activer le serveur et les applications Standard Edition Server	Groupe RTCUniversalServerAdmins Groupe Administrateurs du domaine
Configurer le serveur Standard Edition Server	Groupe RTCUniversalServerAdmins
Configurer les certificats pour Office Communications Server	Groupe Administrateurs Groupe RTCUniversalServerAdmins
Démarrer les services	Groupe RTCUniversalServerAdmins
Valider la configuration du serveur	Groupe RTCUniversalServerAdmins
Configurer les fonctionnalités de conférence Web et A/V (facultatif)	Groupe RTCUniversalServerAdmins
Topologie consolidée Enterprise Edition
Installer les logiciels requis	Groupe RTCUniversalServerAdmins Groupe Administrateurs du domaine
Préparer les services de domaine Active Directory	Membre du groupe Administrateurs du schéma et droits d'administrateur sur le contrôleur de schéma Membre du groupe Administrateurs de l'entreprise pour le domaine racine de la forêt Membre du groupe Administrateurs de l'entreprise ou Administrateurs du domaine
Préparer Windows pour l'installation	Groupe Administrateurs
Installer SQL Server	Administrateur local
Configurer SQL Server pour Office Communications Server	Administrateur SQL Server Administrateur local
Configurer un programme d'équilibrage de la charge pour le pool (facultatif)	Administrateur du programme d'équilibrage de la charge
Créer et vérifier les enregistrements DNS	Groupe Administrateurs DNS
Créer le pool	Groupe RTCUniversalServerAdmins Groupe Administrateurs du domaine
Configurer le pool et les applications	Groupe RTCUniversalServerAdmins
Ajouter des serveurs au pool	Groupe Administrateurs Groupe RTCUniversalServerAdmins Groupe Administrateurs du domaine
Configurer les certificats pour Office Communications Server	Groupe Administrateurs Groupe RTCUniversalServerAdmins
Démarrer les services	RTCUniversalServerAdmins
Valider la configuration du serveur et du pool	RTCUniversalServerAdmins
Conférence rendez-vous
Installer et activer Office Communications Server 2007 R2	Groupe Administrateurs Groupe RTCUniversalServerAdmins Groupe Administrateurs du domaine
Activer les applications Intendant Conférence et Service d'annonce de conférence	Groupe RTCUniversalServerAdmins Groupe Administrateurs du domaine
Installer, activer et configurer la version 2007 R2 du serveur Microsoft Office Communicator Web Access	Groupe Administrateurs Groupe Administrateurs du domaine
Activer l'accès des utilisateurs distants pour Office Communicator Web Access (facultatif)	Groupe Administrateurs Groupe Administrateurs du domaine
Tester la page Web de conférence rendez-vous	Utilisateur d'Office Communications Server 2007 R2
Créer un ou plusieurs profils d'emplacement	Groupe RTCUniversalServerAdmins
Configurer une stratégie globale de prise en charge des conférences rendez-vous	Groupe RTCUniversalServerAdmins
Déployer un serveur de médiation	Groupe RTCUniversalServerAdmins
Déployer une passerelle multimédia de base tierce OU Configurer le serveur de médiation pour exécuter l'acheminement SIP	Groupe RTCUniversalServerAdmins (pour configurer le serveur de médiation) Administrateur du fournisseur d'acheminement SIP
Service Response Group
Installer et activer Office Communications Server 2007 R2	Groupe Administrateurs Groupe RTCUniversalServerAdmins Groupe Administrateurs du domaine
Activer l'application du service Response Group	Groupe RTCUniversalServerAdmins Groupe Administrateurs du domaine
Ajouter des agents, créer des groupes d'agents et des files d'attente pour le pool de serveurs	Groupe RTCUniversalServerAdmins
Créer les workflows	Groupe RTCUniversalServerAdmins
Configurer l'onglet Response Group	Groupe Administrateurs du domaine
Serveur d'archivage
Installer les logiciels requis	Groupe Administrateurs et groupe Administrateurs du domaine (pour installer Message Queuing avec le composant d'intégration Active Directory activé)
Installer et activer un serveur d'archivage	Groupe Administrateurs Groupe Administrateurs du domaine ou RTCUniversalServerAdmins
Configurer des associations du serveur d'archivage	Groupe Administrateurs
Configurer les utilisateurs pour l'archivage	Groupe RTCUniversalUserAdmins
Démarrer les services d'archivage	Groupe RTCUniversalUserAdmins
Serveur de surveillance
Installer les logiciels requis	Groupe Administrateurs Groupe Administrateurs du domaine (pour installer Message Queuing avec le composant d'intégration Active Directory activé)
Installer et activer un serveur de surveillance	Groupe Administrateurs Groupe Administrateurs du domaine ou RTCUniversalServerAdmins
Démarrer les services	Groupe Administrateurs
Déployer les rapports du serveur de surveillance	Groupe Administrateurs
Configurer des associations du serveur de surveillance	Groupe Administrateurs
Office Communicator Web Access
Installer et activer	Administrateurs du domaine
Créer un serveur virtuel	Administrateurs du domaine ou RTCUniversalServerAdmins et administrateurs locaux
Publier des URL Office Communicator Web Access	Administrateurs du domaine ou RTCUniversalServerAdmins et administrateurs locaux
Gérer les paramètres Office Communicator Web Access	Administrateurs du domaine ou RTCUniversalServerAdmins et administrateurs locaux
Conversation de groupe
Créer la base de données SQL Server	Administrateur de base de données
Configurer les comptes et autorisations de conversation de groupe	Groupe Administrateurs
Obtenir des certificats pour la conversation de groupe	Groupe Administrateurs
Installer la conversation de groupe	Groupe Administrateurs
Configurer des paramètres de site Web dans IIS	Groupe Administrateurs
Connecter l'outil d'administration de conversation de groupe à la conversation de groupe	Groupe Administrateurs Administrateur de service de canal
Configurer l'accès utilisateur à la conversation de groupe	Groupe Administrateurs
Déployer la prise en charge de l'archivage et de la conformité	Administrateur de base de données Groupe Administrateurs
Outils d'administration
Installer les outils d'administration sur une console d'administration centralisée qui n'exécute pas Office Communications Server	Groupe Administrateurs Groupe Administrateurs du domaine
Configurer les paramètres de comptes d'utilisateurs	Groupe RTCUniversalUserAdmins
Configurer tous les autres paramètres (en plus des paramètres de comptes d'utilisateurs)	RTCUniversalServerAdmins
Serveur de périphérie
Configurer l'infrastructure des serveurs de périphérie	Groupe Administrateurs
Configurer des serveurs de périphérie	Groupe Administrateurs Groupe Administrateurs du domaine ou RTCUniversalServerAdmins
Configurer l'environnement	Groupe Administrateurs Groupe Administrateurs du domaine ou RTCUniversalServerAdmins
Valider la configuration de périphérie	Groupe Administrateurs Groupe Administrateurs du domaine ou RTCUniversalServerAdmins
Communicator Mobile pour Windows Mobile
Installer les composants requis	Administrateur
Installer Communicator Mobile pour Windows Mobile	Administrateur
Installer des certificats auto-signés	Administrateur
Configurer le client	Administrateur
Tester la messagerie instantanée et la présence	Administrateur
Office Communicator Mobile pour Java
Vérifier que les conditions préalables et les dépendances sont satisfaites	Administrateur
Déployer le composant Office Communicator Mobile	Administrateur
Installer le logiciel client Office Communicator Mobile pour Java	Administrateur
Configurer et utiliser le client	Administrateur
Tester la messagerie instantanée et la présence	Administrateur
Contrôle vocal extérieur
Installer et activer Office Communications Server 2007 R2	Groupe Administrateurs Groupe RTCUniversalServerAdmins Groupe Administrateurs du domaine
Activer l'application Contrôle vocal extérieur	Groupe RTCUniversalServerAdmins Groupe Administrateurs du domaine
Démarrer l'application	Groupe RTCUniversalServerAdmins
Tester la numérotation téléphonique vocale extérieure sur un client mobile pris en charge	Utilisateur d'Office Communications Server 2007 R2
Enterprise Voice avec coexistence PBX
Déployer Office Communications Server, y compris le serveur de médiation connecté au système PBX	Créer un pool d'entreprise : informations d'identification des groupes RTCUniversalServerAdmins et Administrateurs de domaine ou équivalentes Configurer un pool : RTCUniversalServerAdmins Ajouter un serveur au pool : RTCUniversalServerAdmins Configurer un certificat : RTCUniversalServerAdmins Configurer le certificat du serveur de composants Web : informations d'identification de l'administrateur local Valider les fonctionnalités du serveur et du pool : RTCUniversalServerAdmins
Déployer Office Communicator 2007	Administrateur de l'ordinateur sur lequel Office Communicator est en cours d'installation
Activer les utilisateurs pour la messagerie instantanée et la présence	Groupe RTCUniversalUserAdmins
Configurer Office Communications Server pour Enterprise Voice	Groupe RTCUniversalServerAdmins
Configurer le système PBX pour diriger les appels vers Office Communications Server	RTCUniversalServerAdmins (pour obtenir des informations des services de domaine Active Directory permettant de convertir correctement un numéro de poste en URI de téléphone)
Déployer la passerelle multimédia (si nécessaire)	Les passerelles multimédias sont des systèmes externes dotés de leurs propres schémas d'authentification et d'autorisation. Si la passerelle multimédia requiert la création d'entrées de services approuvés, vous devez être au moins membre du groupe RTCUniversalServerAdmins.
Déployer la passerelle RCC (si nécessaire)	Les passerelles RCC sont des systèmes externes dotés de leurs propres schémas d'authentification et d'autorisation. Vous devez être au moins membre du groupe RTCUniversalServerAdmins pour créer les entrées de services approuvés requises.
Activer les utilisateurs pour Enterprise Voice et l'intégration PBX.	Groupe RTCUniversalUserAdmins
Déploiement autonome d'Enterprise Voice (pas de coexistence PBX)
Déployer Office Communications Server	Créer un pool d'entreprise : informations d'identification des groupes RTCUniversalServerAdmins et Administrateurs de domaine ou équivalentes Configurer un pool : RTCUniversalServerAdmins Ajouter un serveur au pool : RTCUniversalServerAdmins Configurer un certificat : RTCUniversalServerAdmins Configurer le certificat du serveur de composants Web : informations d'identification de l'administrateur local Valider les fonctionnalités du serveur et du pool : RTCUniversalServerAdmins
Déployer Office Communicator 2007	Administrateur de l'ordinateur sur lequel Office Communicator est en cours d'installation
Configurer Office Communications Server pour Enterprise Voice	Groupe RTCUniversalUserAdmins
Déployer et configurer la messagerie unifiée Exchange Server 2007 pour qu'elle soit intégrée à Office Communications Server	Pour Office Communications Server : groupe RTCUniversalServerAdmins Pour Exchange Server : les autorisations d'administrateur d'organisation Exchange suffisent lorsque Microsoft Office Communications Server et Exchange Server s'exécutent dans la même forêt. Remarque : Le compte d'utilisateur utilisé pour configurer la messagerie unifiée Exchange doit disposer d'autorisations d'accès en LECTURE sur les pools Office Communications Server dans les services de domaine Active Directory et en LECTURE/ÉCRITURE sur les conteneurs de configuration Exchange (Première organisation\Conteneur de plans de numérotation de messagerie unifiée\Conteneur de passerelles IP de messagerie unifiée\Conteneur de standards automatiques de messagerie unifiée, etc.).
Déployer les passerelles multimédias	Les passerelles multimédias sont des systèmes externes dotés de leurs propres schémas d'authentification et d'autorisation. Si la passerelle multimédia requiert la création d'entrées de services approuvés, vous devez être au moins membre du groupe RTCUniversalServerAdmins.
Activer les utilisateurs pour Enterprise Voice	Groupe RTCUniversalUserAdmins
Service de mise à jour des périphériques
Déploiement	Le service de mise à jour des périphériques est installé automatiquement sur le serveur de composants Web. Aucune autorisation de déploiement spécifique n'est nécessaire, en dehors de celles requises pour le déploiement de Standard Edition ou Enterprise Edition.

Niveaux de sécurité

Les niveaux de sécurité requis pour le déploiement d'Office Communications Server 2007 R2 sont fonction des composants que votre organisation envisage de déployer.

Niveaux de sécurité pour la messagerie unifiée Exchange

Un plan de numérotation de messagerie unifiée Exchange prend en charge trois différents niveaux de sécurité : Unsecured, SIPSecured et Secured. Vous configurez les niveaux de sécurité à l'aide du paramètre VoipSecurity du plan de numérotation de messagerie unifiée. Le tableau suivant illustre les niveaux de sécurité du plan de numérotation appropriés en fonction de l'activation ou de la désactivation de MTLS (Mutual TLS) et/ou SRTP (Secure Real-Time Transport Protocol).

Tableau 2. Valeurs VoipSecurity pour différentes combinaisons de Mutual TLS et SRTP

Niveau de sécurité	Mutual TLS	SRTP
Unsecured	Désactivé	Désactivé
SIPSecured	Activé (requis)	Désactivé
Secured	Activé (requis)	Activé (requis)

Lors de l'intégration de la messagerie unifiée Exchange à Office Communications Server 2007 R2, vous devez sélectionner le niveau de sécurité de plan de numérotation le mieux adapté à chaque profil vocal. Lors de cette sélection, vous devez prendre en compte les points suivants :

MTLS est requis entre la messagerie unifiée Exchange et Office Communications Server. Par conséquent, le niveau de sécurité du plan de numérotation ne doit pas avoir la valeur Unsecured.
Lorsque vous affectez la valeur SIPSecured à la sécurité du plan de numérotation, SRTP est désactivé. Dans ce cas, le niveau de chiffrement du client Office Communicator 2007 R2 doit avoir la valeur Rejeté ou Facultatif.
Lorsque vous affectez la valeur Secured à la sécurité du plan de numérotation, SRTP est activé et requis par la messagerie unifiée Exchange. Dans ce cas, le niveau de chiffrement du client Office Communicator 2007 R2 doit avoir la valeur Facultatif ou Requis.

Sécurité de la passerelle multimédia

Le contenu multimédia transitant dans les deux sens entre le serveur de médiation et le réseau Communications Server est chiffré avec SRTP. Les organisations qui s'appuient sur IPSec pour la sécurité des paquets sont vivement encouragées à créer une exception dans une petite plage de ports multimédias si elles doivent déployer Enterprise Voice. Les négociations de sécurité requises par IPSec fonctionnent correctement pour les connexions UDP ou TCP normales, mais elles peuvent ralentir la configuration des appels jusqu'à des niveaux inacceptables.

Dans la mesure où une passerelle multimédia reçoit des appels du réseau téléphonique commuté, cela peut représenter une vulnérabilité potentielle sur le plan de la sécurité. Pour limiter les risques, les procédures suivantes sont recommandées :

Activez TLS sur la liaison entre la passerelle et le serveur de médiation. Cela permet de s'assurer que les signaux seront chiffrés de bout en bout entre la passerelle et les utilisateurs internes.
Isolez physiquement la passerelle multimédia du réseau interne en déployant le serveur de médiation sur un ordinateur équipé de deux cartes d'interface réseau : l'une qui accepte le trafic du réseau interne uniquement et la seconde qui accepte le trafic d'une passerelle multimédia. Chaque carte est configurée avec une adresse d'écoute distincte afin qu'une séparation claire existe toujours entre le trafic approuvé provenant du réseau Communications Server et le trafic non approuvé provenant du réseau RTC.
La bordure interne d'un serveur de médiation doit être configurée pour correspondre à un itinéraire statique unique décrit par une adresse IP et un numéro de port. Le port par défaut est 5061.
La bordure externe d'un serveur de médiation doit être configurée comme proxy de tronçon suivant interne pour la passerelle multimédia. Elle doit être identifiée par une combinaison unique d'adresse IP et de numéro de port. L'adresse IP ne doit pas être la même que celle de la bordure interne, mais le port par défaut est 5060.

Share via