Délégation de l'administration des serveurs en lecture seule
Dernière rubrique modifiée : 2009-01-23
Pour administrer les serveurs Office Communications Server en lecture seule, un utilisateur doit posséder un compte dans le groupe DomainAdmins (Administrateurs du domaine) ou RTCUniversalReadOnlyAdmins. Certaines organisations ne souhaitent pas accorder d'appartenance au groupe DomainAdmins (Administrateurs du domaine) à des utilisateurs ou des groupes qui ont uniquement besoin d'afficher les propriétés des serveurs Office Communications Server. Vous pouvez choisir d'ajouter des utilisateurs ou des groupes non autorisés au groupe RTCUniversalReadOnlyAdmins ou au groupe RTCUniversalServerReadOnlyGroup, qui sont des groupes universels ayant des autorisations d'administration en lecture seule pour tous les serveurs de la forêt. En déléguant l'administration du serveur en lecture seule, vous accordez à un utilisateur ou groupe un sous-ensemble des autorisations nécessaires à l'administration en lecture seule d'un serveur Office Communications Server donné.
L'appartenance à un groupe d'administration de serveur en lecture seule est utile pour résoudre les problèmes liés au serveur sur un serveur spécifique.
Dans ce cas, vous accordez les autorisations suivantes :
- Autorisation de lecture sur les paramètres globaux.
- Autorisation de lecture sur une unité d'organisation Ordinateur spécifiée.
- Appartenance au groupe d'administration « RTC Local Read-Only Administrators » sur tous les serveurs d'un pool donné ou sur le serveur Standard Edition Server local.
- Rôle ReadOnlyRole sur les bases de données RTC (Real-Time Communications) et RTCConfig du pool ou du serveur.
Pour déléguer des autorisations d'administration des serveurs en lecture seule
Ouvrez une session sur un ordinateur dans le domaine où vous souhaitez accorder des autorisations. Utilisez un compte faisant partie des groupes RTCUniversalServerAdmins et DomainAdmins (Administrateurs du domaine) ou disposant de droits utilisateur équivalents.
Exécutez la commande suivante :
LcsCmd /Domain[:<FQDN du domaine>] /Action:CreateDelegation /Delegation:ReadOnlyAdmin /TrusteeGroup:<nom du groupe universel auquel déléguer> /TrusteeDomain:<FQDN du domaine contenant le groupe du client approuvé> /ServiceAccount:<nom de compte de service RTC> /ComponentServiceAccount:<nom de compte de service de composant RTC> /ComputerOU:<nom unique de l'unité d'organisation ou du conteneur hébergeant les objets Ordinateur qui exécutent Office Communications Server> /PoolName:<nom d'un serveur Standard Edition Server ou d'un pool d'entreprise> [/ExtraServers:<FQDN du serveur1, FQDN du serveur2>]Où :
TrusteeGroup est le groupe auquel vous accordez des autorisations.
TrusteeDomain est le domaine dans lequel vous accordez des autorisations.
ServiceAccount est le nom du compte de service RTC.
ComponentServiceAccount est le nom du compte de service de composant RTC.
ComputerOU est le nom unique de l'unité d'organisation contenant l'ordinateur exécutant le serveur pour lequel vous accordez au groupe du client approuvé des autorisations d'administration en lecture seule.
PoolName est le nom du serveur Standard Edition Server ou du pool d'entreprise dans lequel le groupe du client approuvé peut administrer les serveurs en lecture seule. En outre, ce paramètre ajoute le groupe du client approuvé au groupe Administrateurs local des ordinateurs du pool et au rôle de lecture seule (ReadOnlyRole) sur les bases de données principales de SQL Server.
ExtraServers est la liste des noms de domaines complets (FQDN), séparés par des virgules, des ordinateurs auxquels le groupe souhaite accéder, mais qui ne font pas partie du pool. Vous pouvez entrer le nom de domaine complet des serveurs d'archivage, des serveurs de surveillance (fonctionnalités d'enregistrement des détails des appels et de qualité de l'expérience (QoE)) et des serveurs de médiation ou le nom de domaine complet interne des serveurs de périphérie (s'il s'agit de serveurs de périphérie de domaine ; s'ils font partie d'un groupe de travail, ils ne peuvent pas être délégués).