委派使用者管理
上次修改主題的時間: 2009-01-23
若要管理 Office Communications Server 使用者,使用者必須在 DomainAdmins 群組或 RTCUniversalUserAdmins 群組中擁有帳戶。有些組織不希望將 DomainAdmins 群組中的成員資格授與只需要管理 Office Communications Server 使用者的使用者或群組。您可以選擇將未經授權的使用者或群組新增至 RTCUniversalUserAdmins 群組,但 RTCUniversalUserAdmins 群組為萬用群組,可管理樹系中的所有使用者。您可以透過委派使用者管理,將管理特定一組 Office Communications Server 使用者所需的權限子集授與使用者或群組。
委派使用者管理時會授與下列權限:
- 通用設定的讀取權限
- 電腦組織單位 (OU) 的讀取權限
- 使用者 OU 的讀取/寫入權限
- 指定之集區中所有伺服器上 RTC Local User Administrators 群組的成員
- 集區或伺服器 RTC 和 RTCConfig 資料庫的 ReadOnlyRole
若要委派使用者管理
使用屬於 DomainAdmins 群組成員或具備同等使用者權限的帳戶,登入網域中您要授與權限的電腦。
開啟命令提示字元,然後輸入下列命令:
LcsCmd.exe /Domain[:<網域 FQDN>] /Action:CreateDelegation /Delegation:UserAdmin /TrusteeGroup:<您要委派至的萬用群組名稱> /TrusteeDomain:<信任者群組所在網域的 FQDN> /ServiceAccount:<RTC 服務帳戶名稱> /ComponentServiceAccount:<RTC 元件服務帳戶名稱> /ComputerOU:<執行 Office Communications Server 的電腦物件所在的 OU 或容器的 DN> /UserOU:<Office Communications Server 使用者物件所在的 OU 或容器的 DN> /UserType:{User | Contact | InetOrgPerson} /PoolName:<Standard Edition Server 或 Enterprise Pool 的名稱>
其中:
TrusteeGroup 是您要授與權限的目標群組。
TrusteeDomain 是您要授與權限的網域。
ServiceAccount 是 Real-time Communications (RTC) 服務帳戶名稱。
ComponentServiceAccount 是 RTC 元件服務帳戶名稱。
ComputerOU 是包含執行 Office Communications Server 前端伺服器 (主控信任者群組將管理的使用者) 之電腦的 OU 辨別名稱 (DN)。透過 /Computer OU 參數指定的 OU 和透過 /UserOU 參數指定的 OU 必須位於相同的網域中。如果您要在安裝 Office Communications Server 所在網域之外的網域中委派使用者管理,透過 /Computer OU 參數指定之組織單位仍然必須與透過 /UserOU 參數指定之 OU 位於相同的網域中。
UserOU 指定 OU 的 DN,其中包含信任者群組將管理的使用者。透過 /Computer OU 參數指定的 OU 和透過 /UserOU 參數指定的 OU 必須位於相同的網域中。
UserType 是信任者群組將具有管理權限的使用者物件類型。有效值為 User、Contact 或 InetOrgPerson。
PoolName 是信任者群組可在其中管理使用者的 Standard Edition Server 或 Enterprise Pool 的名稱,並將信任者群組新增至集區中每一部電腦的 Local Administrators 群組及 SQL Server 後端資料庫的 ReadOnlyRole。