Délégation de l'installation
Dernière rubrique modifiée : 2009-07-20
Certaines organisations ne souhaitent pas accorder d'appartenance au groupe DomainAdmins (Administrateurs du domaine) à des utilisateurs ou des groupes qui déploient le serveur Office Communications Server. Dans ce cas, la délégation de l'installation permet d'accorder à ces utilisateurs ou groupes un sous-ensemble des autorisations nécessaires pour installer et activer des serveurs qui exécutent le serveur Office Communications Server. Vous pouvez accorder des autorisations pour déployer le serveur Office Communications Server à l'aide de l'outil de déploiement d'installation (SetupEE.exe pour une configuration consolidée de serveur Enterprise Edition Server ou SetupSE.exe pour un serveur Standard Edition Server) ou de l'outil en ligne de commande LcsCmd.exe.
.gif "Dd425275.note(fr-fr,office.13).gif") Remarque : |
|---|
| Bien que la procédure décrite dans cette rubrique accorde des autorisations d'installation, tout utilisateur du groupe du client approuvé doit également être membre du groupe Administrateurs sur un ordinateur afin de pouvoir installer et activer le serveur Office Communications Server sur cet ordinateur. Pour les scénarios d'installation et d'activation de serveurs Enterprise Edition Server, le groupe du client approuvé doit également être membre du groupe Administrateurs sur l'ordinateur exécutant la base de données principale de Microsoft SQL Server. |
Vous pouvez utiliser l'éditeur ADSI (Active Directory Service Interfaces) pour rechercher et copier le nom unique que vous devez indiquer dans l'Assistant. Pour Windows Server 2003, l'éditeur ADSI fait partie des outils de support. Pour Windows Server 2008, cet outil fait partie des outils d'administration de serveur distant.
Pour Windows Server 2003, les outils de support sont disponibles dans le dossier \SUPPORT\TOOLS du CD‑ROM Windows Server 2003, ou vous pouvez les télécharger sur le site Web Windows Server 2003 Service Pack 2 32‑bit Support Tools (en anglais). Les instructions relatives à l'installation des outils de support à partir du CD‑ROM du produit sont disponibles sur le site Web Installer les outils de support Windows. Adsiedit.dll est inscrit automatiquement lorsque vous installez les outils de support. Toutefois, si vous avez copié les fichiers sur votre ordinateur, vous devez exécuter la commande regsvr32 pour inscrire le fichier adsiedit.dll avant de pouvoir exécuter l'outil.
Pour Windows Server 2008, le package RSAT est copié par défaut sur le serveur lorsque vous installez Windows, mais il n'est pas installé par défaut. Pour installer des outils spécifiques, vous utilisez le Gestionnaire de serveur. L'éditeur ADSI est inclus sous Outils d'administration de rôles, Outils des services de domaine Active Directory, Outils de contrôleur de domaine Active Directory. Pour plus d'informations sur l'installation des outils d'administration de serveur distant, consultez Installation des outils d'administration de serveur distant pour Windows Server 2008.
Pour utiliser Setup.exe pour accorder des autorisations d'installation
Ouvrez une session sur un ordinateur dans le domaine où vous souhaitez accorder des autorisations. Utilisez un compte membre du groupe Administrateurs de domaine ou disposant des droits de l'utilisateur équivalents.
À partir du CD-ROM ou dossier d'installation d'Office Communications Server, exécutez SetupEE.exe (pour une configuration consolidée de serveur Enterprise Edition Server) ou SetupSE.exe (pour un serveur Standard Edition Server) pour démarrer l'outil de déploiement.
Cliquez sur Préparer l'environnement.
Cliquez sur Préparer Active Directory.
Cliquez sur Déléguer l'installation et l'administration.
À l'invite Déléguer les tâches d'installation, cliquez sur Exécuter.
Dans la page Bienvenue, cliquez sur Suivant.
Dans la page Autoriser un groupe, dans Sélectionnez le domaine du client approuvé, indiquez le domaine contenant le groupe auquel déléguer les autorisations.
Dans Nom du groupe existant, tapez le nom du groupe auquel déléguer les autorisations, puis cliquez sur Suivant.
Remarque :Il doit s'agir d'un groupe universel ou d'un groupe global. Il est impossible d'utiliser un groupe local. Dans la page Emplacement des objets ordinateurs pour le déploiement, tapez le nom unique de l'unité d'organisation ou du conteneur qui héberge les objets ordinateurs sur lesquels le serveur Office Communications Server sera déployé.
Remarque :Vous pouvez utiliser l'éditeur ADSI pour accéder aux propriétés du groupe, puis copier et coller le nom unique du groupe dans l'Assistant. Dans la page Compte de service, tapez le compte de service SIP (Session Initiation Protocol) et le compte de service de composant qui seront utilisés par le serveur Office Communications Server.
Dans la page Prêt pour l'installation de la délégation, vérifiez vos sélections et cliquez sur Suivant.
Une fois l'Assistant terminé, cliquez sur Terminer.
Ajoutez le nouveau groupe du client approuvé au groupe Administrateurs local des serveurs sur lesquels vous souhaitez installer le serveur Office Communications Server et sur l'ordinateur exécutant le serveur de la base de données principale SQL Server pour tout pool d'entreprise.
Si, au sein de votre organisation, les autorisations du groupe de sécurité Utilisateurs authentifiés ont été supprimées d'Active Directory, vous devez ajouter le nouveau groupe du client approuvé à RTCUniversalServerAdmins pour les tâches d'installation ou accorder manuellement les autorisations de lecture au groupe du client approuvé pour les conteneurs suivants de la racine de la forêt :
- Domaine racine de la forêt
- Conteneur système du domaine racine de la forêt
- Conteneur de configuration
- Racine du domaine dans lequel les autorisations sont déléguées
- Conteneurs parents des objets Ordinateur et des objets Comptes de service
Ouvrez une fenêtre d'invite de commandes, puis tapez
whoami.exe /allpour vérifier que l'utilisateur dispose des autorisations appropriées. Les informations qui s'affichent doivent être semblables à celles présentées ci‑dessous :Everyone Well-known group S-1-1-0 BUILTIN\Administrators Alias S-1-5-32-544 BUILTIN\Users Alias S-1-5-32-545 NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 NT AUTHORITY\This Organization Well-known group S-1-5-15 LOCAL Well-known group S-1-2-0 CONTOSO\RTCUniversalUserReadOnlyGroup Group S-1-5-21-4264192570- CONTOSO\RTCUniversalGlobalWriteGroup Group S-1-5-21-4264192570- CONTOSO\RTCUniversalGlobalReadOnlyGroup S-1-5-21-4264192570- CONTOSO\RTCUniversalServerReadOnlyGroup S-1-5-21-4264192570- CONTOSO\RTCSetupDelegate S-1-5-21-4264192570- CONTOSO\CERTSVC_DCOM_ACCESS Alias S-1-5-21-4264192570-
Pour utiliser LcsCmd.exe pour accorder des autorisations
Ouvrez une session sur un ordinateur qui exécute le serveur Office Communications Server dans le domaine où vous souhaitez accorder des autorisations. Utilisez un compte membre du groupe Administrateurs de domaine ou disposant des informations d'identification équivalentes.
Ouvrez une fenêtre d'invite de commandes, puis tapez la commande suivante :
LCSCmd.exe /Domain[:<domain FQDN>] /Action:CreateDelegation /Delegation:SetupAdmin /TrusteeGroup:<nom du groupe universel auquel déléguer> /TrusteeDomain:<FQDN du domaine contenant le groupe du client approuvé> /ServiceAccount:<nom de compte de service RTC> /ComponentServiceAccount:<nom de compte de service de composant RTC> /ComputerOU:<nom unique de l'unité d'organisation ou du conteneur hébergeant les objets ordinateurs qui vont exécuter le serveur Office Communications Server>Où :
TrusteeGroup est le groupe auquel vous accordez des autorisations.
TrusteeDomain est le domaine dans lequel réside le groupe du client approuvé.
ServiceAccount est le nom du compte de service RTC (Real-time Communications).
ComponentServiceAccount est le nom du compte de service de composant RTC.
ComputerOU représente le nom unique de l'unité d'organisation contenant les ordinateurs sur lesquels le groupe du client approuvé peut exécuter les tâches d'installation du serveur Office Communications Server.
Ajoutez le nouveau groupe du client approuvé au groupe Administrateurs local des ordinateurs sur lesquels vous souhaitez installer Office Communications Server et sur l'ordinateur exécutant le serveur de la base de données principale SQL Server pour tout pool d'entreprise.
Si, au sein de votre organisation, les autorisations du groupe de sécurité Utilisateurs authentifiés ont été supprimées des services de domaine Active Directory (AD DS), vous devez ajouter le nouveau groupe du client approuvé à RTCUniversalServerAdmins pour les tâches d'installation ou accorder manuellement les autorisations de lecture au groupe du client approuvé pour les conteneurs suivants de la racine de la forêt :
Domaine racine de la forêt
Conteneur système du domaine racine de la forêt
Conteneur de configuration
Racine du domaine dans lequel les autorisations sont déléguées
Conteneurs parents des objets Ordinateur et des objets Comptes de service
Ouvrez une fenêtre d'invite de commandes, puis tapez
whoami.exe /allpour vérifier que l'utilisateur dispose des autorisations appropriées. Les informations qui s'affichent doivent être semblables à celles présentées ci‑dessous :Everyone Well-known group S-1-1-0 BUILTIN\Administrators Alias S-1-5-32-544 BUILTIN\Users Alias S-1-5-32-545 NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 NT AUTHORITY\This Organization Well-known group S-1-5-15 LOCAL Well-known group S-1-2-0 CONTOSO\RTCUniversalUserReadOnlyGroup Group S-1-5-21-4264192570- CONTOSO\RTCUniversalGlobalWriteGroup Group S-1-5-21-4264192570- CONTOSO\RTCUniversalGlobalReadOnlyGroup S-1-5-21-4264192570- CONTOSO\RTCUniversalServerReadOnlyGroup S-1-5-21-4264192570- CONTOSO\delegatedLSSetup Group S-1-5-21-4264192570- CONTOSO\CERTSVC_DCOM_ACCESS Alias S-1-5-21-4264192570-