委派唯讀伺服器管理
上次修改主題的時間: 2009-01-23
如果要以唯讀權限的方式管理 Office Communications Server,使用者必須擁有 DomainAdmins 群組或 RTCUniversalReadOnlyAdmins 群組的帳戶。有些組織不希望將 DomainAdmins 群組的成員資格授與只需要檢視 Office Communications Server 伺服器內容的使用者或群組。您可以選擇將未經授權的使用者或群組新增至 RTCUniversalReadOnlyAdmins 群組或 RTCUniversalServerReadOnlyGroup 中,這些萬用群組對樹系中的所有伺服器都具有唯讀管理權限。藉由委派唯讀伺服器管理,您可以將針對特定 Office Communications Server 執行唯讀管理所需的權限子集,授與某個使用者或群組。
唯讀伺服器系統管理群組的成員資格在疑難排解特定伺服器的伺服器問題上很有用。
當您委派唯讀伺服器管理時,即授與了下列權限:
- 通用設定的讀取權限。
- 指定之電腦組織單位 (OU) 的讀取權限。
- 指定的集區中所有伺服器上或本機 Standard Edition 伺服器上,「RTC Local Read-Only Administrators」群組的成員資格。
- Real-time Communications (RTC) 集區或伺服器和 RTCConfig 資料庫的 ReadOnlyRole。
若要委派唯讀伺服器管理
使用具有 RTCUniversalServerAdmins 和 DomainAdmins 或相等使用者權限的帳戶,登入網域中您要授與權限的電腦。
使用下列命令:
LcsCmd /Domain[:<網域 FQDN>] /Action:CreateDelegation /Delegation:ReadOnlyAdmin /TrusteeGroup:<您要委派至的萬用群組名稱> /TrusteeDomain:<信任者群組所在網域的 FQDN> /ServiceAccount:<RTC 服務帳戶名稱> /ComponentServiceAccount:<RTC 元件服務帳戶名稱> /ComputerOU:<執行 Office Communications Server 的電腦物件所在的 OU 或容器的 DN> /PoolName:<Standard Edition Server 或 Enterprise Pool 的名稱> [/ExtraServers:<server1 的 FQDN, server2 的 FQDN>]其中:
TrusteeGroup 是您要授與權限的目標群組。
TrusteeDomain 是您要授與權限的網域。
ServiceAccount 是 RTC 服務帳戶名稱。
ComponentServiceAccount 是 RTC 元件服務帳戶名稱。
ComputerOU 是 OU 的識別名稱 (DN),此 OU 包含了正在執行您要授與信任者群組唯讀管理權限之伺服器的電腦。
PoolName 是信任者群組可以在其中執行唯讀伺服器管理的 Standard Edition 伺服器或 Enterprise Pool 的名稱,並將信任者群組新增至集區中每一部電腦的 Local Administrators 群組及 SQL Server 後端資料庫的 ReadOnlyRole。
ExtraServers 是以半形逗號分隔的完整網域名稱 (FQDN) 清單,列出此群組必須存取但不在集區內的電腦。您可以輸入封存伺服器、監控伺服器 (也就是詳細通話記錄 (CDR) 和品質經驗 (QoE))、中繼伺服器的 FQDN 或 Edge Server 的內部 FQDN (這是在 Edge Server 為網域 Edge Server 的情況下;如果全位於工作群組中,就不能加以委派)。