Servizi di dominio Active Directory
Ultima modifica dell'argomento: 2009-12-17
Servizi di dominio Active Directory (Active Directory in Windows Server 2003) funge da servizio directory per le reti Windows Server 2003 e Windows Server 2008. Servizi di dominio Active Directory costituisce anche la base su cui si fonda l'infrastruttura di protezione di Office Communications Server 2007 R2. In questa sezione viene descritto in che modo Office Communications Server utilizza Servizi di dominio Active Directory per creare un ambiente affidabile per messaggistica immediata, servizi di conferenza Web, dati multimediali e audio. Per informazioni dettagliate sulle estensioni di Office Communications Server per Servizi di dominio Active Directory e sulla preparazione dell'ambiente per Servizi di dominio Active Directory, vedere Preparazione di Servizi di dominio Active Directory per Office Communications Server 2007 R2. Per informazioni dettagliate sul ruolo di Servizi di dominio Active Directory nelle reti Windows Server 2003 e Windows Server 2008, vedere la documentazione relativa a Windows Server 2003 o Windows Server 2008.
Office Communications Server 2007 R2 utilizza Servizi di dominio Active Directory per archiviare:
- Impostazioni globali necessarie per tutti i server Office Communications Server 2007 R2 di una foresta.
- Informazioni sui servizi che identificano i ruoli di tutti i server Office Communications Server 2007 R2 di una foresta.
- Impostazioni utente.
Preparazione di Servizi di dominio Active Directory
Nota
Si consiglia di distribuire le impostazioni globali al contenitore della configurazione tramite il contenitore di sistema. Se si sta eseguendo la migrazione da una versione precedente e si è utilizzato il contenitore di sistema, ma si prevede di utilizzare il contenitore della configurazione, è NECESSARIO spostare le impostazioni del contenitore di sistema PRIMA di eseguire qualsiasi preparazione per l'aggiornamento. Per eseguire la migrazione delle impostazioni del contenitore di sistema al contenitore della configurazione, vedere la pagina relativa all'Utilità di migrazione delle impostazioni globali di Microsoft Office Communications Server 2007 all'indirizzo https://go.microsoft.com/fwlink/?LinkId=145236 (informazioni in lingua inglese).
Quando si distribuisce Office Communications Server, il primo passaggio è la preparazione di Servizi di dominio Active Directory. La preparazione di Servizi di dominio Active Directory per Office Communications Server prevede i tre passaggi seguenti:
- Prepara schema. Questa attività consente di estendere lo schema di Servizi di dominio Active Directory in modo da includere classi e attributi specifici di Office Communications Server 2007 R2. Prepara schema può essere eseguito solo dagli amministratori dello schema o da un amministratore locale nel master schema.
- Prepara foresta Questa attività consente di creare le impostazioni globali e gli oggetti nel dominio radice della foresta, insieme ai gruppi amministrativi e di servizi universali che regolano l'accesso a queste impostazioni e oggetti.
- Prepara dominio. Questa attività consente di aggiungere le voci di controllo di accesso (ACE, Access Control Entry) necessarie ai gruppi universali che concedono le autorizzazioni per ospitare e gestire gli utenti nel dominio. Prepara dominio deve essere eseguito in tutti i domini nei quali si desidera distribuire Office Communications Server e in tutti i domini in cui risiedono utenti di Office Communications Server.
Per informazioni dettagliate su ciascuno dei passaggi di preparazione di Servizi di dominio Active Directory, vedere Preparazione di Servizi di dominio Active Directory per Office Communications Server 2007 R2.
Gruppi universali
Durante Prepara foresta, Office Communications Server crea all'interno di Servizi di dominio Active Directory diversi gruppi universali che dispongono dell'autorizzazione ad accedere alle impostazioni globali e ai servizi e a gestirli. Questi gruppi universali includono:
- Gruppi amministrativi. Questi gruppi definiscono i ruoli di amministratore fondamentali per una rete Office Communications Server. Durante Prepara foresta, questi gruppi di amministratori vengono aggiunti ai gruppi di infrastrutture di Office Communications Server.
- Gruppi di infrastrutture. Questi gruppi forniscono l'autorizzazione ad accedere ad aree specifiche dell'infrastruttura di Office Communications Server. Fungono da componenti dei gruppi amministrativi ed è consigliabile non modificarli o aggiungervi direttamente utenti.
- Gruppi di servizi. Questi gruppi sono account di servizio necessari per accedere a diversi servizi forniti da Office Communications Server.
Nella tabella riportata di seguito vengono descritti i gruppi universali di Office Communications Server e i rispettivi privilegi.
Tabella 1. Gruppi universali creati da Office Communications Server 2007 R2
| Gruppo amministrativo | Privilegi |
|---|---|
RTCUniversalServerAdmins |
Gestire tutte le impostazioni e gli oggetti di Office Communications Server di una foresta, inclusi tutti i ruoli del server, le impostazioni globali e gli utenti. |
RTCUniversalUserAdmins |
Gestire tutti gli utenti di una foresta abilitati per Office Communications Server. |
RTCUniversalReadOnlyAdmins |
Accedere in sola lettura a tutti i server e gli utenti. |
Gruppo di infrastrutture |
Privilegi |
RTCUniversalGlobalReadOnlyGroup |
Accesso in sola lettura alle impostazioni globali. |
RTCUniversalGlobalWriteGroup |
Accesso in scrittura alle impostazioni globali. |
RTCUniversalUserReadOnlyGroup |
Accesso in sola lettura alle impostazioni utente. |
RTCUniversalServerReadOnlyGroup |
Accesso in sola lettura alle impostazioni server. |
Gruppo di servizi |
Privilegi |
RTCHSUniversalServices |
Account del servizio utilizzato per l'esecuzione dei server Office Communications Server 2007 R2 Standard Edition e degli Enterprise Edition Front-End Server. Questo gruppo autorizza i server a leggere e scrivere le impostazioni globali e gli oggetti utente. |
RTCArchivingUniversalServices |
Account del servizio utilizzato per l'esecuzione dei server di archiviazione di Office Communications Server 2007 R2 e per l'accesso al database dei servizi. |
RTCProxyUniversalServices |
Account del servizio utilizzato per l'esecuzione del server proxy di Office Communications Server 2007 R2. |
RTCComponentsUniversalServices |
Account del servizio utilizzato per l'esecuzione di server per conferenze, Web Components Server e Mediation Server di Office Communications Server 2007 R2. |
RTCUniversalGuestAccessGroup |
Accesso in sola lettura al contenuto delle riunioni per le conferenze. Questo gruppo viene utilizzato da utenti interni con credenziali Active Directory che si connettono in modalità remota, nonché da utenti esterni che non dispongono di credenziali Active Directory. |
Informazioni sui server
Durante l'attivazione, Office Communications Server pubblica le informazioni sui server nelle tre posizioni seguenti in Servizi di dominio Active Directory:
- Un punto di connessione del servizio (SCP, Service Connection Point) in ogni oggetto computer Active Directory corrispondente a un computer fisico in cui è installato Office Communications Server.
- Oggetti server creati nel contenitore della classe msRTCSIP-Pools.
- Elenchi di server trusted.
Punti di connessione del servizio
Ogni oggetto Office Communications Server in Servizi di dominio Active Directory dispone di un punto SCP denominato RTC Services, che contiene a sua volta alcuni attributi che identificano ogni computer e specificano i servizi forniti. serviceDNSName, serviceDNSNameType, serviceClassname e serviceBindingInformation sono alcuni degli attributi SCP più importanti. Le applicazioni di terze parti per la gestione dei beni possono recuperare le informazioni sui server in una distribuzione eseguendo una query a fronte di questi e altri attributi SCP.
Oggetti server Active Directory
A ogni ruolo di Office Communications Server corrisponde un oggetto Active Directory i cui attributi definiscono i servizi forniti da tale ruolo. Quando viene attivato un Server Standard o quando viene creato un pool Enterprise Edition, Office Communications Server crea un nuovo oggetto msRTCSIP-Pool nel contenitore msRTCSIP-Pools. La classe msRTCSIP-Pool specifica il nome di dominio completo (FQDN) del pool, insieme all'associazione tra i componenti front-end e back-end del pool. Un Server Standard viene considerato un pool logico i cui componenti front-end e back-end sono installati in un solo computer.
Elenchi di server trusted
Durante Prepara foresta, Office Communications Server crea i contenitori per gli elenchi di server trusted. Durante l'attivazione, Office Communications Server pubblica il nome FQDN di ogni server nel contenitore appropriato. Un server trusted soddisfa i criteri seguenti:
- Il nome FQDN del server si trova in uno degli elenchi di server trusted archiviati in Servizi di dominio Active Directory, come descritto nella sezione precedente.
- Il server presenta un certificato valido di una CA attendibile. Il nome FQDN nel certificato corrisponde al nome FQDN di tale server in uno degli elenchi di server trusted. Per informazioni dettagliate sull'utilizzo dei certificati in Office Communications Server, vedere Infrastruttura a chiave pubblica per Office Communications Server 2007 R2.
Se uno di questi criteri è mancante, il server non è trusted e la connessione viene rifiutata. Questo duplice requisito impedisce un possibile, anche se improbabile, attacco in cui un server non autorizzato tenta di prendere il controllo del nome FQDN di un server valido.
L'utilizzo di più elenchi di server trusted è una differenza rispetto alle versioni precedenti di Live Communications Server, che mantengono un solo elenco di server trusted. Ogni server dell'elenco è rappresentato come GUID (Globally Unique Identifier) nel contenitore delle impostazioni globali. Con l'aggiunta di nuovi ruoli del server in Office Communications Server 2007 R2, vengono definiti nuovi contenitori per i GUID di ruoli del server diversi. Questi nuovi contenitori e i rispettivi elenchi di server trusted sono illustrati nella tabella seguente.
Tabella 2. Elenchi di server trusted e relativi contenitori di Active Directory
| Elenco di server trusted | Contenitore di Active Directory |
|---|---|
Server Standard e Front End Server del pool Enterprise |
RTC Service/Global Settings |
Conferencing Server |
RTC Service/Trusted MCUs |
Web Components Server |
RTC Service/TrustedWebComponentsServers |
Mediation Server e Communicator Web Access Server (anche server SIP di terze parti) |
RTC Service/Trusted Services |
Server proxy |
RTC Service/Trusted Proxies |
Negli elenchi di server trusted vengono duplicate le voci FQDN presenti anche nei singoli oggetti Office Communications Server. Questa ridondanza ha lo scopo di impedire il possibile spoofing dei server trusted, che può plausibilmente verificarsi perché Servizi di dominio Active Directory consente ai singoli utenti di modificare gli attributi negli oggetti computer corrispondenti ai computer personali. La maggior parte delle organizzazioni non consente agli utenti di apportare tale modifica ai computer di lavoro, ma gli elenchi di server trusted aggiungono un ulteriore livello di protezione consentendo di eseguire la modifica solo ai membri di RTCUniversalServerAdmins.