Condividi tramite

  • Articolo

Requisiti degli account e delle autorizzazioni

Ultima modifica dell'argomento: 2009-04-01

Tra i requisiti relativi alla protezione di Office Communications Server 2007 R2 sono inclusi i seguenti:

  • Credenziali amministrative
  • Livelli di protezione
  • Protezione del gateway multimediale

Credenziali amministrative

Nella tabella seguente vengono descritte le autorizzazioni necessarie per distribuire i vari ruoli del server.

Nota

Per impostazione predefinita, l'appartenenza al gruppo Domain Admins è necessaria per distribuire o attivare un server che fa parte di un dominio Active Directory. Per non concedere questo livello di privilegio al gruppo o agli utenti che distribuiscono Office Communications Server, è possibile utilizzare Impostazione guidata delega per fornire a un gruppo specifico il sottoinsieme di autorizzazioni necessarie per l'attività.

Tabella 1. Credenziali amministrative necessarie per le attività di distribuzione

Procedura Credenziali amministrative o ruoli necessari

Standard Edition

 

Installare i prerequisiti software

Gruppo RTCUniversalServerAdmins

Gruppo Domain Admins

Preparare Servizi di dominio Active Directory

Membro del gruppo Schema Admins e diritti di amministratore per il master schema

Membro del gruppo EnterpriseAdmins per il dominio radice della foresta

Membro del gruppo EnterpriseAdmins o DomainAdmins

Preparare Windows per l'installazione

Gruppo Administrators

Creare e verificare i record DNS

Gruppo DNS Admins

Distribuire e attivare il Server Standard e le applicazioni

Gruppo RTCUniversalServerAdmins

Gruppo Domain Admins

Configurare il Server Standard

Gruppo RTCUniversalServerAdmins

Configurare i certificati per Office Communications Server

Gruppo Administrators

Gruppo RTCUniversalServerAdmins

Avviare i servizi

Gruppo RTCUniversalServerAdmins

Convalidare la configurazione dei server

Gruppo RTCUniversalServerAdmins

Configurare le conferenze audio/video e Web (facoltativo)

Gruppo RTCUniversalServerAdmins

Enterprise Edition, topologia consolidata

 

Installare i prerequisiti software

Gruppo RTCUniversalServerAdmins

Gruppo Domain Admins

Preparare Servizi di dominio Active Directory

Membro del gruppo Schema Admins e diritti di amministratore per il master schema

Membro del gruppo EnterpriseAdmins per il dominio radice della foresta

Membro del gruppo EnterpriseAdmins o DomainAdmins

Preparare Windows per l'installazione

Gruppo Administrators

Installare SQL Server

Amministratore locale

Configurare SQL Server per Office Communications Server

Amministratore di SQL Server

Amministratore locale

Configurare un servizio di bilanciamento del carico per il pool (facoltativo)

Amministratore del servizio di bilanciamento del carico

Creare e verificare i record DNS

Gruppo DNS Admins

Creare il pool

Gruppo RTCUniversalServerAdmins

Gruppo Domain Admins

Configurare il pool e le applicazioni

Gruppo RTCUniversalServerAdmins

Aggiungere server al pool

Gruppo Administrators

Gruppo RTCUniversalServerAdmins

Gruppo Domain Admins

Configurare i certificati per Office Communications Server

Gruppo Administrators

Gruppo RTCUniversalServerAdmins

Avviare i servizi

RTCUniversalServerAdmins

Convalidare la configurazione del server e del pool

RTCUniversalServerAdmins

Conferenza telefonica con accesso esterno

 

Installare e attivare Office Communications Server 2007 R2

Gruppo Administrators

Gruppo RTCUniversalServerAdmins

Gruppo Domain Admins

Attivare le applicazioni Operatore Conferenza e Servizio Annuncio conferenza

Gruppo RTCUniversalServerAdmins

Gruppo Domain Admins

Installare, attivare e configurare la versione 2007 R2 del server Microsoft Office Communicator Web Access

Gruppo Administrators

Gruppo Domain Admins

Abilitare l'accesso utente remoto a Communicator Web Access (facoltativo)

Gruppo Administrators

Gruppo Domain Admins

Verificare la pagina Web per conferenze telefoniche con accesso esterno

Utente di Office Communications Server 2007 R2

Creare uno o più profili località

Gruppo RTCUniversalServerAdmins

Configurare un criterio globale per il supporto delle conferenze telefoniche con accesso esterno

Gruppo RTCUniversalServerAdmins

Distribuire un Mediation Server

Gruppo RTCUniversalServerAdmins

Distribuire un gateway multimediale di base di terze parti

oppure

Configurare il Mediation Server per l'esecuzione del trunking SIP

Gruppo RTCUniversalServerAdmins (per configurare Mediation Server)

Amministratore del provider del trunking SIP

Response Group Service

 

Installare e attivare Office Communications Server 2007 R2

Gruppo Administrators

Gruppo RTCUniversalServerAdmins

Gruppo Domain Admins

Attivare l'applicazione Response Group Service

Gruppo RTCUniversalServerAdmins

Gruppo Domain Admins

Aggiungere agenti, creare gruppi di agenti e creare code per il pool di server

Gruppo RTCUniversalServerAdmins

Creare i flussi di lavoro

Gruppo RTCUniversalServerAdmins

Configurare la scheda Response Group

Gruppo Domain Admins

Server di archiviazione

 

Installare i prerequisiti software

Gruppo Administrators e Domain Admins (per installare Accodamento messaggi con l'integrazione di Active Directory abilitata)

Installare e attivare il server di archiviazione

Gruppo Administrators

Gruppo Domain Admins o RTCUniversalServerAdmins

Configurare le associazioni del server di archiviazione

Gruppo Administrators

Configurare gli utenti per l'archiviazione

Gruppo RTCUniversalUserAdmins

Avviare i servizi di archiviazione

Gruppo RTCUniversalUserAdmins

Monitoring Server

 

Installare i prerequisiti software

Gruppo Administrators

Gruppo Domain Admins (per installare Accodamento messaggi con l'integrazione di Active Directory abilitata)

Installare e attivare Monitoring Server

Gruppo Administrators

Gruppo Domain Admins o RTCUniversalServerAdmins

Avviare i servizi

Gruppo Administrators

Distribuire i rapporti di Monitoring Server

Gruppo Administrators

Configurare le associazioni di Monitoring Server

Gruppo Administrators

Communicator Web Access

 

Installare e attivare

Domain Admins

Creare il server virtuale

Domain Admins o RTCUniversalServerAdmins e Administrators locale

Pubblicare gli URL di Communicator Web Access

Domain Admins o RTCUniversalServerAdmins e Administrators locale

Gestire le impostazioni di Communicator Web Access

Domain Admins o RTCUniversalServerAdmins e Administrators locale

Group Chat

 

Creare il database di SQL Server

Amministratore di database

Impostare account e autorizzazioni di Group Chat

Gruppo Administrators

Ottenere certificati per Group Chat

Gruppo Administrators

Installare Group Chat

Gruppo Administrators

Configurare le impostazioni del sito Web in IIS

Gruppo Administrators

Connettere lo strumento di amministrazione di Group Chat a Group Chat

Gruppo Administrators

Amministratore del servizio canale

Configurare l'accesso degli utenti di Group Chat

Gruppo Administrators

Distribuire il supporto della conformità e dell'archiviazione

Amministratore di database

Gruppo Administrators

Strumenti di amministrazione

 

Installare Strumenti di amministrazione in una console di amministrazione centralizzata che non esegue Office Communications Server

Gruppo Administrators

Gruppo Domain Admins

Configurare le impostazioni degli account utente

RTCUniversalUserAdmins

Configurare tutte le altre impostazioni (diverse dalle impostazioni degli account utente)

RTCUniversalServerAdmins

Edge Server

 

Impostare l'infrastruttura per gli Edge Server

Gruppo Administrators

Impostare gli Edge Server

Gruppo Administrators

Gruppo Domain Admins o RTCUniversalServerAdmins

Configurare l'ambiente

Gruppo Administrators

Gruppo Domain Admins o RTCUniversalServerAdmins

Convalidare la configurazione dei server perimetrali

Gruppo Administrators

Gruppo Domain Admins o RTCUniversalServerAdmins

Communicator Mobile per Windows Mobile

 

Installare i prerequisiti

Amministratore

Installare Communicator Mobile per Windows Mobile

Amministratore

Installare i certificati autofirmati

Amministratore

Configurare il client

Amministratore

Eseguire il test delle funzionalità di messaggistica immediata e presenza

Amministratore

Communicator Mobile per Java

 

Verificare che i prerequisiti e le dipendenze siano stati soddisfatti

Amministratore

Distribuire il componente Communicator Mobile

Amministratore

Installare il software client Communicator Mobile per Java

Amministratore

Configurare e utilizzare il client

Amministratore

Eseguire il test delle funzionalità di messaggistica immediata e presenza

Amministratore

Controllo vocale esterno

 

Installare e attivare Office Communications Server 2007 R2

Gruppo Administrators

Gruppo RTCUniversalServerAdmins

Gruppo Domain Admins

Attivare l'applicazione Controllo vocale esterno

Gruppo RTCUniversalServerAdmins

Gruppo Domain Admins

Avviare l'applicazione

Gruppo RTCUniversalServerAdmins

Testare la funzionalità che consente di effettuare chiamate vocali esterne in un client mobile supportato

Utente di Office Communications Server 2007 R2

Enterprise Voice con coesistenza del PBX

 

Distribuire Office Communications Server, incluso il Mediation Server che si connette al PBX
  • Creare il pool Enterprise: credenziali RTCUniversalServerAdmins e Domain Admins o equivalenti
  • Configurare il pool: RTCUniversalServerAdmins
  • Aggiunger il server al pool: RTCUniversalServerAdmins
  • Configurare il certificato: RTCUniversalServerAdmins
  • Configurare il certificato di Web Components Server: credenziali di amministratore locale
  • Convalidare la funzionalità del server e del pool: RTCUniversalServerAdmins

Distribuire Office Communicator 2007

Amministratore nel computer in cui è in corso l'installazione di Office Communicator

Abilitare gli utenti per la messaggistica immediata e la funzionalità di presenza

Gruppo RTCUniversalUserAdmins

Configurare Communications Server per Enterprise Voice

Gruppo RTCUniversalServerAdmins

Configurare il PBX in modo che invii le chiamate anche a Office Communications Server

RTCUniversalServerAdmins (per ottenere informazioni da Servizi di dominio Active Directory in modo da convertire un'estensione nell'URI telefono corretto)

Distribuire i gateway multimediali (se necessario)

I gateway multimediali sono sistemi esterni con schemi di autenticazione e di autorizzazione propri. Se il gateway multimediale richiede la creazione di voci dei servizi trusted, è necessario essere almeno un membro del gruppo RTCUniversalServerAdmins.

Distribuire il gateway RCC (se necessario)

I gateway RCC sono sistemi esterni con schemi di autenticazione e di autorizzazione propri. È necessario essere almeno un membro del gruppo RTCUniversalServerAdmins per creare le voci dei servizi trusted necessarie.

Abilitare gli utenti per l'integrazione tra Enterprise Voice e il PBX

Gruppo RTCUniversalUserAdmins

Enterprise Voice autonomo (nessuna coesistenza con il PBX)

 

Distribuire Office Communications Server
  • Creare il pool Enterprise: credenziali RTCUniversalServerAdmins e Domain Admins o equivalenti
  • Configurare il pool: RTCUniversalServerAdmins
  • Aggiunger il server al pool: RTCUniversalServerAdmins
  • Configurare il certificato: RTCUniversalServerAdmins
  • Configurare il certificato di Web Components Server: credenziali di amministratore locale
  • Convalidare la funzionalità del server e del pool: RTCUniversalServerAdmins

Distribuire Office Communicator 2007

Amministratore nel computer in cui è in corso l'installazione di Office Communicator

Configurare Office Communications Server per Enterprise Voice

Gruppo RTCUniversalUserAdmins

Distribuire la messaggistica unificata di Exchange Server 2007 e configurarla per l'integrazione con Office Communications Server
  • Per Office Communications Server: gruppo RTCUniversalServerAdmins
  • Per Exchange Server: le autorizzazioni di Exchange Organization Administrators sono sufficienti quando Office Communications Server ed Exchange Server sono in esecuzione nella stessa foresta.
    Dd425321.note(it-it,office.13).gifNota:
    L'account utente utilizzato per configurare la messaggistica unificata di Exchange deve disporre dell'accesso in lettura ai pool di Office Communications Server in Servizi di dominio Active Directory e dell'accesso in lettura/scrittura nei contenitori della configurazione di Exchange (contenitore Prima organizzazione\Dial plan di messaggistica unificata, contenitore del gateway IP di messaggistica unificata, contenitore dell'operatore automatico di messaggistica unificata e così via).

Distribuire gateway multimediali

I gateway multimediali sono sistemi esterni con schemi di autenticazione e di autorizzazione propri. Se il gateway multimediale richiede la creazione di voci dei servizi trusted, è necessario essere almeno un membro del gruppo RTCUniversalServerAdmins.

Abilitare gli utenti per Enterprise Voice

Gruppo RTCUniversalUserAdmins

Servizio Aggiornamento dispositivi

 

Distribuzione

Servizio Aggiornamento dispositivi viene automaticamente installato nel Web Components Server. Non sono necessarie autorizzazioni specifiche per la distribuzione, se non quelle richieste per distribuire Standard Edition o Enterprise Edition.

Livelli di protezione

I livelli di protezione necessari per la distribuzione di Office Communications Server 2007 R2 dipendono dai componenti che l'organizzazione prevede di distribuire.

Livelli di protezione della messaggistica unificata di Exchange

Un dial plan di messaggistica unificata di Exchange supporta tre livelli di protezione diversi: Unsecured, SIPSecured e Secured. I livelli di protezione vengono configurati tramite il parametro VoipSecurity del dial plan di messaggistica unificata. Nella tabella seguente sono illustrati i livelli di protezione appropriati del dial plan a seconda che MTLS (Mutual TLS) e/o SRTP (Secure Real-Time Transport Protocol) siano abilitati o disabilitati.

Tabella 2. Valori di VoipSecurity per diverse combinazioni di Mutual TLS e SRTP

Livello di protezione Mutual TLS SRTP

Unsecured

Disabilitato

Disabilitato

SIPSecured

Abilitato (obbligatorio)

Disabilitato

Secured

Abilitato (obbligatorio)

Abilitato (obbligatorio)

Per integrare la messaggistica unificata di Exchange con Communications Server 2007 R2, è necessario selezionare il livello di protezione del dial plan appropriato per ogni profilo vocale. Nell'effettuare questa selezione, considerare gli aspetti seguenti:

  • MTLS è obbligatorio tra la messaggistica unificata di Exchange e Office Communications Server. Pertanto, il livello di protezione del dial plan non deve essere impostato su Unsecured.
  • Se la protezione del dial plan è impostata su SIPSecured, SRTP è disabilitato. In questo caso, il livello di crittografia dei client Office Communicator 2007 R2 deve essere impostato come rifiutato o facoltativo.
  • Se la protezione del dial plan è impostata su Secured, SRTP è abilitato ed è obbligatorio per la messaggistica unificata di Exchange. In questo caso, il livello di crittografia dei client Office Communicator 2007 R2 deve essere impostato come facoltativo o obbligatorio.

Protezione del gateway multimediale

Il contenuto multimediale trasferito in entrambe le direzioni tra il Mediation Server e la rete di Communications Server viene crittografato tramite il protocollo SRTP. Per le organizzazioni che si affidano allo standard IPsec per la protezione dei pacchetti è consigliabile creare un'eccezione in un piccolo intervallo di porte multimediali se si prevede di distribuire Enterprise Voice. Le negoziazioni di protezione richieste da IPsec sono adeguate per le normali connessioni UDP o TCP, ma possono rallentare l'impostazione delle chiamate a livelli inaccettabili.

Poiché un gateway multimediale riceve chiamate da PSTN che possono presentare una potenziale vulnerabilità di protezione, è consigliabile eseguire le azioni di migrazione seguenti:

  • Abilitare TLS nel collegamento tra il gateway e Mediation Server. In tal modo le segnalazioni vengono crittografate end-to-end tra il gateway e gli utenti interni.
  • Isolare fisicamente il gateway multimediale dalla rete interna distribuendo il Mediation Server in un computer con due schede di rete, la prima che accetta solo il traffico proveniente dalla rete interna e la seconda che accetta il traffico proveniente da un gateway multimediale. Ogni scheda viene configurata con un indirizzo di attesa distinto, in modo che il traffico attendibile che ha origine nella rete di Communications Server sia sempre nettamente separato da quello non attendibile proveniente dalla rete PSTN.
    Il confine interno di un Mediation Server deve essere configurato in modo da corrispondere a una route statica univoca identificata da un indirizzo IP e da un numero di porta. Per impostazione predefinita, viene utilizzata la porta 5061.
    Il confine esterno di un Mediation Server deve essere configurato come proxy dell'hop successivo interno per il gateway multimediale e deve essere identificato da una combinazione univoca di indirizzo IP e numero di porta. L'indirizzo IP non deve essere uguale a quello del confine interno, ma la porta predefinita è 5060.