UCActive Directory 指南.docx

1、UCActive Directory 指南Microsoft Office Communications Server 2007Active Directory 指南 准备 Active Directory 委派安装和管理 Active Directory 架构参考发布日期：2007 年 9 月 本文档中的信息（包括 URL 和其他 Internet 网站引用）如有变更，恕不另行通知。除非另有说明，本文档示例所提及的公司、组织、产品、域名、电子邮件地址、徽标、人物、地点和事件纯属虚构。我们无意暗示任何真实的公司、组织、产品、域名、电子邮件地址、徽标、人物、地点或事件，读者也不应进行这方面的猜测

2、。遵守所有适用的版权法著作权法是用户的责任。在不限制版权许可的权利的情况下，未经 Microsoft Corporation 的明确书面许可，不得出于任何目的、以任何形式或通过任何手段（电子、机械、复印、录制或其他方式）复制本文档的任何部分或将其存储或引入到检索系统中或进行传播。对于本文档所涉及的主要内容，Microsoft 可能拥有专利、专利申请、商标、版权或其他知识产权。除非 Microsoft 的任何书面许可协议中有明确规定，否则，提供本文档并不意味着向您授予对这些专利、商标、版权或其他知识产权的任何许可。 2007 Microsoft Corporation。保留所有权利。Micros

3、oft、Active Directory、MS-DOS、Outlook、SharePoint、Windows、Windows NT 和 Windows Server 是 Microsoft 公司的商标。其他所有商标归它们各自的所有者所有。目录简介 4本指南的结构 4如何使用本指南 4术语和概念 5基础结构要求 6Active Directory 准备概述 6准备架构概述 7准备林概述 7准备域概述 10Active Directory 准备 11部署方法 12使用安装部署工具准备 Active Directory 12使用命令行准备 Active Directory 17安装和管理委派 20情

4、景 1：委派安装（安装和激活） 20情景 2：委派服务器管理 24情景 3：委派用户管理 25情景 4：委派只读服务器管理 26情景 5：委派只读用户管理 27Active Directory 架构参考 28Active Directory 类 29Active Directory 属性 32属性说明 39附录 A：如何准备锁定的 Active Directory 53情景 1：删除了经过身份验证的用户的权限 54情景 2：权限继承在“计算机”、“用户”或“InetOrgPerson”容器上禁用 56简介若要部署和操作 Microsoft Office Communications Serve

5、r 2007，必须扩展 Microsoft Active Directory 目录服务的域服务架构，然后在 Active Directory 中创建并配置对象。这些扩展会添加操作 Office Communications Server 2007 所必需的新 Active Directory 属性和类。 本指南描述这些扩展，并重点介绍以下各方面： 如何准备 Active Directory 以使您能够部署和操作 Office Communications Server 2007。 如何委派安装和管理权限。 Active Directory 架构参考。 本指南的结构本指南包含下列部分： 基础结构

6、要求。介绍 Active Directory 准备所必需的先决条件。 Active Directory 准备概述。简要介绍为 Office Communications Server 2007 准备 Active Directory 所涉及的过程，并描述每个 Active Directory 准备步骤的目的以及所执行的操作。这一部分说明在部署了运行 Office Communications Server 的服务器的每个域和林中要求执行的核心步骤。 Active Directory 准备。提供有关使用 GUI 部署工具 (Setup.exe) 和命令行工具 (LcsCmd.exe) 执行必需的

7、 Active Directory 准备任务的分步指导。 安装和管理委派。说明如何使用部署工具或命令行来委派安装或管理任务。可使用部署工具或命令行将安装凭据委派给特定组，这样便无需使用 Domain Admins 来执行任务。还可以委派对特定池或服务器的用户或服务器权限，或者只读用户或服务器管理权限。 Active Directory 架构参考。详细介绍 Office Communications Server 2007 添加的属性和类。 附录 A：如何准备锁定的 Active Directory。说明如何准备已禁用权限继承或已禁用经过身份验证的用户访问控制项 (ACE) 的 Active D

8、irectory。如何使用本指南如何使用本指南取决于您需要了解的内容以及您要执行的操作。可选择如下方式： 若要了解更多关于 Active Directory 准备工作的详细信息，请完整阅读本指南。 若要了解有关准备 Active Directory 的分步过程，请转到本指南的 Active Directory 准备部分。 若要了解有关委派执行 Office Communications Server 安装或管理的权限的分步过程，请转到本指南的安装和管理委派部分。但是，在委派安装或管理任务之前，必须已为 Office Communications Server 准备 Active Directo

9、ry。 若要详细了解架构类和属性，请转到本指南的 Active Directory 架构参考部分。术语和概念 Active Directory。一种目录服务，可以存储有关网络上的对象的信息，并使这些信息能够为用户和网络管理员所用。 类。在 Active Directory 中，指对象的特征以及对象可包含的信息的类型。对于每个对象类，架构都会定义该类的实例所必须具有的属性以及该实例可具有的其他属性。 域。作为网络的一部分并共享一个公用目录数据库的一组计算机。域会作为一个单元通过相同的规则和过程进行管理。每个域都有一个唯一的名称。Active Directory 域是计算机的集合，该集合由基于 M

10、icrosoft Windows 操作系统的网络的管理员所定义。这些计算机共享一个公用目录数据库，使用相同的安全策略，并与其他域有着相同的安全关系。通过 Active Directory 域可访问由域管理员维护的集中用户帐户和组帐户。 域控制器。Active Directory 林中的一台服务器，它包含 Active Directory 数据库的可写副本，参与 Active Directory 复制，并控制对网络资源的访问。 林。由一个或多个 Windows 域形成的集合，这些域共享相同的架构、配置和全局编录，并使用双向可传递信任进行链接。 林根域。DNS（域名系统）命名空间的起始点。在 Ac

11、tive Directory 中，指 Active Directory 树中的初始域。也是林的初始域。 全局编录服务器。一个目录数据库，应用程序和客户端可以查询该数据库，以查找林中的任何对象。全局编录位于林中的一个或多个域控制器上。它包含林中每个域目录分区的部分副本。这些部分副本包含林中每个对象的副本，如下所述： 搜索操作中最常用的属性。 查找对象的完整副本所需要的属性。 全局组。一种安全组或分发组，可以包含它自己的域中的用户、组和计算机作为成员。全局安全组可以拥有对其林中任何域中的资源的权利和权限。 架构。可存储在目录中的所有对象的定义集。对于每个对象类，架构定义该类的实例必须具有哪些属性、

12、可以具有其他哪些属性，以及其他哪些对象类可以作为其父对象类。 通用组。一种安全组或分发组，可包含其林的任何域中作为成员的用户、组和计算机。通用安全组可以拥有对林中任何域中的资源的权利和权限。 基础结构要求在为 Office Communications Server 2007 准备 Active Directory 之前，请确保您的 Active Directory 基础结构符合以下先决条件。 域控制器运行 Microsoft Windows 2000 Server SP4 (Service Pack 4)、Microsoft Windows Server2003 SP1、Windows Se

13、rver 2003 R2 或更高版本的操作系统。（建议使用 Windows Server 2003 R2）。 全局编录服务器运行 Windows 2000 Server SP4、Windows Server2003 SP1、Windows Server 2003 R2 或更高版本。（建议使用 Windows Server 2003 R2）。 在其中部署 Office Communications Server 的所有域都要使用 Windows 2000 Server 本机模式或更高版本的操作系统。不能在混合模式域中部署 Office Communications Server。Office C

14、ommunications Server 2007 在 Microsoft Windows Server 2003 和 Windows 2000 Server 操作系统中支持本机模式通用组。通用组的成员可包括域树或林中任何域的其他组和帐户，并且可将域树或林中任何域的权限分配给这些成员。通用组支持与管理员委派相结合，可简化对 Office Communications Server 2007 部署的管理。例如，为使管理员能同时管理两个域，您无需再将一个域添加到另一个域中，从而在免去添加域的需要的同时，大大简化了部署。注意若要更改域以在 Windows 2000 本机模式或更高版本的操作系统中运行

15、，请参阅 Active Directory 准备概述为 Office Communications Server 2007 准备 Active Directory 涉及三个基本步骤，以下各部分将详细介绍这些步骤： 准备 Active Directory 架构。扩展架构，以便能够将 Office Communications Server 2007 所需的新类和属性添加到架构中。此步骤在 Active Directory 林中执行一次。 准备 Active Directory 林。在根域的“系统”容器下或者配置命名上下文中创建 Office Communications Server 对象和属性

16、。这些对象和属性是部署和操作 Office Communications Server 所必需的。准备林是必需的步骤，并且要在 Active Directory林上执行一次。 准备每一个 Active Directory 域。为通用组添加对域中对象的权限。准备域是必需的步骤，并且必须在部署 Office Communications Server 的每个域中执行一次。 准备架构概述“准备架构”步骤扩展 Active Directory 中的架构，以包含特定于 Office Communications Server 2007 的类和属性。这是为部署 Office Communications

17、Server 2007 准备环境时首先执行的过程。此过程是必需的，并且仅在 Active Directory 林中执行一次。有关执行此过程所需的具体步骤和凭据，请参阅本指南后面的 Active Directory 准备部分。Office Communications Server 2007 向 Active Directory 架构添加新的类和属性以及对象。这些类和属性将在本指南后面的 Active Directory 架构参考部分中详细介绍。准备林概述如果选择默认选项，则“准备林”步骤将在林根域“系统”容器中创建 Office Communications Server 对象；如果选择配置容

18、器，则将在配置容器中创建这些对象。这些对象包含有关 Office Communications Server 部署的全局设置和信息。“准备林”还会在配置容器中创建 Office Communications Server 对象，配置容器包含 Office Communications Server 所使用的属性集和显示说明符。 “准备林”操作必须在计划部署 Office Communications Server 的每个 Active Directory 林中执行一次。有关执行此过程所需要的具体步骤和凭据，请参阅本指南后面题为 Active Directory 准备的部分。 创建 Active

19、 Directory 全局设置和对象。 创建 Office Communications Server 所使用的 Active Directory 组。Active Directory 全局设置和对象“准备林”可创建 Office Communications Server 所使用的全局设置和对象，如下所述： 根据您选择的选项，在根域的系统容器或配置容器中创建 Active Directory 对象中的全局设置。 如果选择将全局设置存储在根域的“系统”容器中（推荐），则会在根域的“系统”下添加新的 Microsoft 容器并在“系统Microsoft”对象下添加新的“RTC 服务”对象。如果选

20、择将全局设置存储在根域的“配置”容器下，则将使用现有的“服务”容器，但会在“配置服务”对象下添加一个新的“RTC 服务”对象。 在“RTC 服务”对象下添加 msRTCSIP-GlobalContainer 类型的“全局设置”对象。该“全局设置”对象包含应用于整个 Office Communications Server 2007 部署的所有设置。 为执行“准备林”操作的根域添加一个新的 msRTCSIP-Domain 对象。可使用命令行或 GUI 部署指定域。Active Directory 通用服务组和管理组“准备林”还会根据您指定要承载通用组的域来创建通用组，并添加这些组的访问控制项 (

21、ACE)。“准备林”会创建下列各项： 在指定要承载 Office Communications Server 所使用通用组的域的“用户”容器中创建通用组，如下所述：服务组：RTCHSUniversalServicesRTCComponentUniversalServicesRTCArchivingUniversalServicesRTCProxyUniversalServices RTCUniversalGuestAccessGroup 授予用户访问会议内容的权限。此组由使用 Active Directory 凭据进行远程连接的内部用户，以及没有 Active Directory 凭据的匿名用

22、户所使用管理组： RTCUniversalServerAdmins 允许成员管理服务器和池设置 RTCUniversalUserAdmins 允许成员管理用户设置，还允许成员在不同的服务器或池中移动用户 RTCUniversalReadOnlyAdmins 允许成员读取服务器、池和用户设置基础结构组： RTCUniversalGlobalWriteGroup 授予对 Office Communications Server 的全局设置对象的写访问权限 RTCUniversalGlobalReadOnlyGroup 授予对 Office Communications Server 的全局设置对象

23、的只读访问权限 RTCUniversalUserReadOnlyGroup 授予对 Office Communications Server 用户设置的只读访问权限 RTCUniversalServerReadOnlyGroup 授予对 Office Communications Server 设置的只读访问权限。此组没有对池级别设置的访问权限，只有对特定于单个服务器的设置的访问权限将管理员组添加到正确的基础结构组： RTCUniversalServerAdmins 添加到 RTCUniversalGlobalReadOnlyGroup、RTCUniversalGlobalWriteGroup

24、、RTCUniversalServerReadOnlyGroup 和 RTCUniversalUserReadOnlyGroup 中 RTCUniversalUserAdmins 作为 RTCUniversalGlobalReadOnlyGroup、RTCUniversalServerReadOnlyGroup 和 RTCUniversalUserReadOnlyGroup 的成员添加 RTCHSUniversalServices、RTCComponentUniversalServices 和 RTCUniversalReadOnlyAdmins 作为 RTCUniversalGlobalRe

25、adOnlyGroup、RTCUniversalServerReadOnlyGroup 和 RTCUniversalUserReadOnlyGroup 的成员添加“准备林”在 Office Communications Server 2007 所使用的全局设置容器中创建专用 ACE。此容器仅由 Office Communications Server 使用，位于根域的“系统”容器或配置容器中（取决于您指定的选项）。“准备林”所创建的公共 ACE 列于下表中：表1.“准备林”添加的 ACERTCUniversalGlobalReadOnlyGroup读取根域“系统”容器（非继承）*X读取“配置”

26、的 DisplaySpecifiers 容器 （非继承）X*非继承的 ACE 不会授予对这些容器下的子对象的访问权限。继承的 ACE 将授予对这些容器下的子对象的访问权限。“准备林”操作在配置命名上下文下的配置容器上执行以下任务。 在用户、联系人和 InetOrgPersons 的语言显示说明符（例如，CN=user-Display，CN=409，CN=DisplaySpecifiers）的 adminContextMenu 和 adminPropertyPages 属性下，为“RTC 属性”页添加一个条目 AB255F23-2DBD-4bb6-891D-38754AC280EF。 在 Ext

27、ended-Rights 下添加适用于用户和联系人类的 controlAccessRight 类型的 RTCPropertySet 对象。 在 Extended-Rights 下添加适用于用户、联系人、OU 和 DomainDNS 类的 controlAccessRight 类型的 RTCUserSearchPropertySet 对象。 在每个语言组织单位显示说明符（例如，CN=organizationalUnit-Display，CN=409，CN=DisplaySpecifiers）的 extraColumns 属性下添加 msRTCSIP-PrimaryUserAddress，并复制默

28、认显示（例如，CN=default-Display，CN=409，CN=DisplaySpecifiers）的 extraColumns 属性的值。 在用户、联系人和 InetOrgPerson 对象的每个语言显示说明符（例如，在英文中为 CN=user-Display，CN=409，CN=DisplaySpecifiers）的 attributeDisplayNames 属性下，添加 msRTCSIP-PrimaryUserAddress、msRTCSIP-PrimaryHomeServer 和 msRTCSIP-UserEnabled 筛选属性。准备域概述“准备域”步骤向通用组添加授予承载

29、和管理域中用户的权限所需的 ACE。“准备域”必须在要部署 Office Communications Server 的所有域中，以及 Office Communications Server 用户将位于的所有域中执行。该任务要在每个域中执行一次。 “准备域”在域根和三个内置容器中创建 ACE：用户、计算机和域控制器。下面的表 2 和表 3 列出了这些 ACE。除非另有说明，否则所有 ACE 都是继承的。表2.添加到域根中的 ACERTCUniversal-UserrReadOnly-GroupRTCUniversal-ServerReadOnly-GroupRTCUniversal-User

30、AdminsRTCHSUniversal-ServicesAuthenticatedUsers读取容器（非继承）XX读取用户属性集 User-Account-RestrictionsX读取用户属性集 Personal-InformationX读取用户属性集General-InformationX读取用户属性集Public-InformationX读取用户属性集RTCUserSearchProperty-SetXX读取用户属性集RTCPropertySetX写入用户属性Proxy-AddressesX写入用户属性集RTCUserSearchProperty-SetX写入用户属性集RTCPrope

31、rtySetX读取所有 Active Directory 对象的属性集 DS-Replication-Get-ChangesX表3.添加到“用户”、“计算机”和“域控制器”容器的 ACERTCUniversalUserReadOnlyGroupRTCUniversalServerReadOnlyGroup读取容器（非继承）XX如果您的组织使用自定义容器而不是三个内置容器，则 Authenticated Users 组必须对自定义容器具有读访问权限。如果 Authenticated Users 组对自定义容器没有读访问权限，请使用 LcsCmd.exe 运行 CreateLcsOUPermissions 命令以授予对所有