Delegar la administración de usuarios
Última modificación del tema: 2009-01-23
Para administrar a los usuarios de Office Communications Server, el usuario debe tener una cuenta en el grupo Admins. del dominio o en el grupo RTCUniversalUserAdmins. Algunas organizaciones no desean otorgar pertenencia en el grupo Admins. del dominio a usuarios o grupos que solo necesitan administrar usuarios de Office Communications Server. Puede decidir agregar usuarios o grupos no autorizados al grupo RTCUniversalUserAdmins, que es un grupo universal que puede administrar todos los usuarios del bosque. La delegación de administración de usuarios permite conceder a un usuario o grupo el subconjunto de permisos necesarios para administrar un conjunto específico de usuarios de Office Communications Server.
Al delegar la administración de usuarios, se conceden los siguientes permisos:
- Permisos de lectura para la configuración global
- Permisos de lectura para una unidad organizativa de equipo
- Permisos de lectura y escritura para una unidad organizativa de usuario
- Miembro del grupo RTC Local User Administrators en todos los servidores de un grupo específico de servidores
- ReadOnlyRole en las bases de datos RTC y RTCConfig del servidor o grupo de servidores
Para delegar la administración de usuarios
Inicie sesión en un equipo del dominio donde desea conceder los permisos. Utilice una cuenta que sea miembro del grupo Admins. del dominio o que tenga derechos de usuario equivalentes.
Abra un símbolo del sistema y escriba el siguiente comando:
LcsCmd.exe /Domain[:<FQDN del dominio>] /Action:CreateDelegation /Delegation:UserAdmin /TrusteeGroup:<nombre del grupo universal en el que va a delegar> /TrusteeDomain:<FQDN del dominio donde reside el grupo de confianza> /ServiceAccount:<nombre de la cuenta de servicio RTC> /ComponentServiceAccount:<nombre de la cuenta de servicio del componente RTC> /ComputerOU:<DN de la unidad organizativa o contenedor donde residen los objetos de equipo que ejecutan Office Communications Server> /UserOU:<DN de la unidad organizativa o contenedor donde residen los objetos de usuario de Office Communications Server> /UserType:{User | Contact | InetOrgPerson} /PoolName:<Nombre de un servidor Standard Edition o grupo de servidores Enterprise>Donde:
TrusteeGroup es el grupo al que va a conceder los permisos.
TrusteeDomain es el dominio en el que se conceden los permisos.
ServiceAccount es el nombre de la cuenta del servicio Comunicaciones en tiempo real (RTC).
ComponentServiceAccount es el nombre de la cuenta de servicio del componente RTC.
ComputerOU es el nombre distintivo (DN) de la unidad organizativa que contiene el servidor front-end de Office Communications Server que hospeda a los usuarios que administrará el grupo de confianza. La unidad organizativa especificada por el parámetro /Computer OU y la unidad organizativa especificada por el parámetro /UserOU deben residir en el mismo dominio. Si desea delegar la administración de usuarios en un dominio distinto del dominio en el que está instalado Office Communications Server, la unidad organizativa especificada por el parámetro /Computer OU debe residir igualmente en el mismo dominio que la unidad organizativa especificada por el parámetro /UserOU.
UserOU especifica el nombre distintivo de la unidad organizativa que contiene los usuarios que el grupo de confianza va a administrar. La unidad organizativa especificada por el parámetro /Computer OU y la unidad organizativa especificada por el parámetro /UserOU deben residir en el mismo dominio.
UserType es el tipo de objeto de usuario para los que tendrá permisos de administración el grupo de confianza. Los valores válidos son User, Contact o InetOrgPerson.
PoolName es el nombre del servidor Standard Edition o del grupo de servidores Enterprise en el que el grupo de confianza puede administrar usuarios y agrega el grupo de confianza al grupo de Administradores locales de cada equipo del grupo de servidores y a la función ReadOnlyRole de las bases de datos back-end de SQL Server.