services de domaine Active Directory pour Skype Entreprise Server
services de domaine Active Directory fonctionne en tant que service d’annuaire pour les réseaux Windows Server 2003, Windows Server 2008, Windows Server 2012 et Windows Server 2012 R2. services de domaine Active Directory sert également de base à l’infrastructure de sécurité Skype Entreprise Server. L’objectif de cette section est de décrire comment Skype Entreprise Server utilise services de domaine Active Directory pour créer un environnement digne de confiance pour la messagerie instantanée, les conférences Web, les médias et la voix. Pour plus d’informations sur la préparation de votre environnement pour services de domaine Active Directory, consultez Installer Skype Entreprise Server dans la documentation de déploiement. Pour plus d’informations sur le rôle de services de domaine Active Directory dans les réseaux Windows Server, consultez la documentation relative à la version du système d’exploitation que vous utilisez.
Skype Entreprise Server utilise services de domaine Active Directory pour stocker :
Paramètres globaux requis par tous les serveurs exécutant Skype Entreprise Server dans une forêt.
Informations de service qui identifient les rôles de tous les serveurs exécutant Skype Entreprise Server dans une forêt.
Certains paramètres utilisateur.
Active Directory Infrastructure
La configuration requise de l’infrastructure pour Active Directory est la suivante :
Systèmes d’exploitation requis pour les contrôleurs de domaine
Exigences de niveau fonctionnel de domaine et de forêt
Exigences de domaine de catalogue global
Pour plus d’informations, consultez Exigences environnementales pour Skype Entreprise Server 2015 ou Configuration requise du serveur pour Skype Entreprise Server 2019.
Groupes universels
Pendant la préparation de la forêt, Skype Entreprise Server crée différents groupes universels dans services de domaine Active Directory qui ont l’autorisation d’accéder aux paramètres et services globaux et de les gérer. Ces groupes universels incluent :
Groupes administratifs. Ces groupes définissent les rôles d’administrateur fondamentaux pour un réseau Skype Entreprise Server. Pendant la préparation de la forêt, ces groupes d’administrateurs sont ajoutés aux groupes d’infrastructure Skype Entreprise Server.
Groupes de service. Ces groupes sont des comptes de service qui sont requis pour accéder aux différents services fournis par Skype Entreprise Server.
Groupes d’infrastructure. Ces groupes permettent d’accéder à des zones spécifiques de l’infrastructure Skype Entreprise Server. Ils fonctionnent comme des composants de groupes administratifs et vous ne devez pas les modifier ni leur ajouter directement des utilisateurs. Lors de la préparation de la forêt, des groupes de service et d’administration spécifiques sont ajoutés aux groupes d’infrastructure appropriés.
Pour plus d’informations sur les groupes universels spécifiques créés lors de la préparation d’AD pour Skype Entreprise Server, ainsi que sur les groupes de service et d’administration qui sont ajoutés aux groupes d’infrastructure, consultez Modifications apportées par la préparation de la forêt dans Skype Entreprise Server dans la documentation de déploiement.
Remarque
Skype Entreprise Server prend en charge les groupes universels dans Windows Server 2012, ainsi que les systèmes d’exploitation Windows Server 2003 pour les contrôleurs de domaine. Les membres de groupes universels peuvent inclure d’autres groupes et comptes provenant de n’importe quel domaine de l’arbre ou de la forêt de domaines et peuvent se voir attribuer des autorisations dans n’importe quel domaine également. La prise en charge des groupes universels, associée à la délégation d’administrateur, simplifie la gestion d’un déploiement Skype Entreprise Server. Par exemple, il n’est pas nécessaire d’ajouter un domaine à un autre domaine pour permettre à un administrateur de les gérer tous les deux.
Contrôle d’accès basé sur un rôle
En plus de créer des groupes de service et d’administration universels et d’ajouter des groupes de service et d’administration aux groupes universels appropriés, la préparation de forêt crée également des groupes de Contrôle d’accès basé sur un rôle (RBAC). Pour plus d’informations sur les groupes RBAC spécifiques créés par la préparation de la forêt, voir Changes made by forest preparation in Skype for Business Server dans la documentation de déploiement. Pour plus d’informations sur les groupes RBAC, consultez Contrôle d’accès en fonction du rôle (RBAC) pour Skype Entreprise Server.
Entrées de contrôle d’accès (ACE) et héritage
La préparation de la forêt crée des ACE privées et publiques et ajoute des ACE pour les groupes universels qu’elle crée. Il crée des acees privées spécifiques sur le conteneur de paramètres globaux utilisé par Skype Entreprise Server. Ce conteneur est utilisé uniquement par Skype Entreprise Server et se trouve soit dans le conteneur Configuration, soit dans le conteneur Système dans le domaine racine, selon l’emplacement où vous stockez les paramètres globaux.
L’étape de préparation du domaine ajoute les entrées de contrôle d’accès (ACE) nécessaires aux groupes universels qui permettent d’héberger et de gérer les utilisateurs au sein du domaine. La préparation de domaine crée des ACE à la racine du domaine et dans trois conteneurs intégrés : Utilisateur, Ordinateurs et Contrôleurs de domaine.
Pour plus d’informations sur les ACL publiques créées et ajoutées par la préparation de la forêt et la préparation du domaine, consultez Modifications apportées par la préparation de la forêt dans Skype Entreprise Server et Modifications apportées par la préparation du domaine dans Skype Entreprise Server dans la documentation de déploiement.
Les organisations verrouillent souvent services de domaine Active Directory (AD DS) pour aider à atténuer les risques de sécurité. Toutefois, un environnement Active Directory verrouillé peut limiter les autorisations requises par Skype Entreprise Server. Ceci peut inclure la suppression des ACE des conteneurs et des unités d’organisation (OU) et la désactivation de l’héritage des autorisations sur les objets Utilisateur, Contact, InetOrgPerson ou Ordinateur. Dans un environnement Active Directory verrouillé, les autorisations doivent être définies manuellement sur les conteneurs et les unités d’organisation qui en ont besoin.
Informations du serveur
Pendant l’activation, Skype Entreprise Server publie les informations du serveur dans les trois emplacements suivants dans services de domaine Active Directory :
Point de connexion de service (SCP) sur chaque objet d’ordinateur Active Directory correspondant à un ordinateur physique sur lequel Skype Entreprise Server est installé.
Les objets Serveur créés dans le conteneur de la classe msRTCSIP-Pools.
Serveurs approuvés spécifiés dans le Générateur de topologie.
Points de connexion de service
Chaque objet Skype Entreprise Server dans services de domaine Active Directory a un SCP appelé RTC Services, qui à son tour contient un certain nombre d’attributs qui identifient chaque ordinateur et spécifient les services qu’il fournit. Parmi les attributs SCP les plus importants figurent serviceDNSName , serviceDNSNameType , serviceClassname et serviceBindingInformation . Les applications de gestion des actifs tiers peuvent récupérer les informations du serveur sur un déploiement en émettant des requêtes concernant ces données et d’autres attributs de points de connexion de service.
Objets serveur Active Directory
Chaque rôle serveur Skype Entreprise Server a un objet Active Directory correspondant dont les attributs définissent les services fournis par ce rôle. En outre, lorsqu’un serveur Standard Edition est activé ou qu’un pool Êdition Entreprise est créé, Skype Entreprise Server crée un objet msRTCSIP-Pool dans le conteneur msRTCSIP-Pools. La classe msRTCSIP-Pool spécifie le nom de domaine complet (FQDN) du pool, ainsi que l’association entre les composants frontaux et principaux du pool. (Un serveur Standard Edition est considéré comme un pool logique dont les front-ends et les back-ends sont colocalisés sur un seul ordinateur.)
Serveurs approuvés
Dans Skype Entreprise Server, les serveurs approuvés sont ceux spécifiés lorsque vous exécutez le Générateur de topologie et que vous publiez votre topologie. La topologie publiée, y compris toutes les informations du serveur, est enregistrée dans le magasin central de gestion. Seuls les serveurs définis dans le magasin central de gestion sont approuvés. Dans Skype Entreprise Server, un serveur approuvé répond aux critères suivants :
Le nom de domaine complet (FQDN) du serveur se trouve dans la topologie enregistrée dans le magasin central de gestion.
Le serveur présente un certificat valide d’une autorité de certification approuvée. Pour plus d’informations, consultez Exigences environnementales pour Skype Entreprise Server 2015 ou Configuration système requise pour Skype Entreprise Server 2019.
Si l’un de ces critères est manquant, le serveur n’est pas approuvé et la connexion avec celui-ci est refusée. Cette double exigence empêche une attaque possible, voire improbable, dans laquelle un serveur non autorisé tente de prendre le contrôle du nom de domaine complet d’un serveur valide.
En outre, pour permettre aux déploiements microsoft Office Communications Server 2007 R2 et Microsoft Office Communications Server 2007 de communiquer avec les serveurs Skype Entreprise Server, Skype Entreprise Server crée des conteneurs pendant la préparation de la forêt pour conserver des listes de serveurs approuvés pour les versions précédentes. Le tableau suivant décrit les conteneurs créés pour permettre la compatibilité avec les déploiements précédents.
Listes de serveurs approuvés et leurs conteneurs Active Directory pour la compatibilité avec les versions précédentes
| Liste des serveurs approuvés | Conteneur Active Directory |
|---|---|
| Serveurs Standard Edition et serveurs frontaux du pool d’entreprise |
RTC Service/Paramètres globaux |
| Serveurs de conférence |
RTC Service/MCU approuvés |
| Serveurs de composants Web |
RTC Service/TrustedWebComponentsServers |
| Serveurs de médiation et serveurs Communicator Web Access, serveur d’application, serveur d’inscriptions avec QoE, service de conférence A/V (également serveurs SIP tiers) |
RTC Service/Services approuvés |
| Serveurs proxy |
Skype Entreprise Server ne prend pas en charge la compatibilité descendante pour les serveurs proxy |