セットアップの委任
トピックの最終更新日: 2009-07-20
組織によっては、Office Communications Server を展開するユーザーやグループに DomainAdmins グループのメンバシップを付与することを望まない場合もあります。このケースでは、セットアップを委任すると、これらのユーザーまたはグループに対し、Office Communications Server のインストールとこの製品を実行するサーバーのアクティブ化に必要なアクセス許可のサブセットを付与できます。Setup 展開ツール (Enterprise Edition サーバーの集中構成の場合は SetupEE.exe、Standard Edition サーバーの場合は SetupSE.exe) または LcsCmd.exe コマンド ライン ツールを使用することによって、Office Communications Server を展開するためのアクセス許可を付与できます。
.gif "Dd425275.note(ja-jp,office.13).gif") 注: |
|---|
| ここではセットアップのアクセス許可を付与するプロセスについて説明しますが、コンピュータに Office Communications Server をインストールしてアクティブ化するには、トラスティ グループのユーザーが対象コンピュータ上で Administrators グループのメンバであることも必要です。Enterprise Edition サーバーのインストールおよびアクティブ化を実行する場合、トラスティ グループのユーザーは、Microsoft SQL Server バックエンド データベースを実行するコンピュータ上で Administrators グループのメンバであることも必要です。 |
Active Directory サービス インターフェイス (ADSI) Edit は、ウィザードで指定する必要のある識別名を検索してコピーするために使用できるツールです。Windows Server 2003 の場合、ADSI Edit はサポート ツールに付属しています。Windows Server 2008 の場合、このツールはリモート サーバー管理ツール (RSAT) に付属しています。
Windows Server 2003 のサポート ツールは、Windows Server 2003 CD の \SUPPORT\TOOLS フォルダから入手するか、「Windows Server 2003 Service Pack 2 32-bit Support Tools (Windows Server 2003 Service Pack 2 32 ビット サポート ツール)」からダウンロードできます。サポート ツールを製品 CD からインストールする手順については、「Windows サポート ツールをインストールする」を参照してください。サポート ツールをインストールすると、Adsiedit.dll が自動的に登録されます。ただし、ファイルをコンピュータにコピーした場合は、ツールを実行する前に、regsvr32 コマンドを実行して adsiedit.dll ファイルを登録する必要があります。
Windows Server 2008 の場合、RSAT パッケージは、既定で、Windows のインストール時にサーバーにコピーされますが、インストールされません。サーバー マネージャを使用して各ツールをインストールします。ADSI Edit は、[役割管理ツール]、[Active Directory ドメイン サービス ツール]、[Active Directory ドメイン コントローラ ツール] を順に展開すると見つかります。リモート サーバー管理ツールのインストールの詳細については、「Windows Server 2008 のリモート サーバー管理ツールのインストール」を参照してください。
Setup.exe を使用してセットアップのアクセス許可を付与するには
アクセス許可を付与する、ドメイン内のコンピュータにログオンします。Domain Admins グループのメンバであるアカウントまたは同等の権限を持っているアカウントを使用します。
Office Communications Server のインストール フォルダまたは CD から、SetupEE.exe (Enterprise Edition サーバーの集中構成の場合) または SetupSE.exe (Standard Edition サーバーの場合) を実行して、展開ツールを起動します。
[環境の準備] をクリックします。
[Active Directory の準備] をクリックします。
[セットアップと管理の委任] をクリックします。
[セットアップ タスクの委任] で、[実行] をクリックします。
[ようこそ] ページで、[次へ] をクリックします。
[グループの承認] ページの [トラスティ ドメインを選択してください] で、アクセス許可の委任先のグループを含むドメインを指定します。
[既存グループの名前を入力してください] に、アクセス許可の委任先のグループの名前を入力して、[次へ] をクリックします。
注:このグループは、ユニバーサル グループまたはグローバル グループであることが必要です。ドメインのローカル グループは選択できません。 [展開用のコンピュータ オブジェクトの場所] ページで、Office Communications Server 展開用のコンピュータ オブジェクトをホストしている組織単位 (OU) またはコンテナの識別名 (DN) を入力します。
注:ADSI Edit ツールを使用してグループのプロパティを開き、グループの DN をコピーしてウィザードに貼り付けることができます。 [サービス アカウント] ページで、Office Communications Server によって使用されるセッション開始プロトコル (SIP) サービス アカウントおよびコンポーネント サービス アカウントを入力します。
[セットアップの委任の実行準備完了] ページで、設定を確認して、[次へ] をクリックします。
ウィザードが完了したら、[完了] をクリックします。
Office Communications Server をインストールする各サーバーと、任意のエンタープライズ プール用の SQL Server バックエンド データベース サーバーを実行するコンピュータのローカルの Administrators グループに、新しいトラスティ グループを追加します。
組織内で Authenticated Users セキュリティ グループのアクセス許可が Active Directory から削除されている場合にセットアップ タスクを実行するには、RTCUniversalServerAdmins に新しいトラスティ グループを追加するか、またはフォレストのルートにある次の各コンテナに対する読み取りアクセス許可をトラスティ グループに手動で付与する必要があります。
- フォレストのルート ドメイン
- フォレストのルート ドメインのシステム コンテナ
- 構成コンテナ
- アクセス許可が委任されるドメインのルート
- コンピュータ オブジェクトとサービス アカウント オブジェクトの親コンテナ
コマンド プロンプトを開き、「
whoami.exe /all」と入力して、ユーザーが適切なアクセス許可を保持していることを確認します。出力は次のようになります。Everyone Well-known group S-1-1-0 BUILTIN\Administrators Alias S-1-5-32-544 BUILTIN\Users Alias S-1-5-32-545 NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 NT AUTHORITY\This Organization Well-known group S-1-5-15 LOCAL Well-known group S-1-2-0 CONTOSO\RTCUniversalUserReadOnlyGroup Group S-1-5-21-4264192570- CONTOSO\RTCUniversalGlobalWriteGroup Group S-1-5-21-4264192570- CONTOSO\RTCUniversalGlobalReadOnlyGroup S-1-5-21-4264192570- CONTOSO\RTCUniversalServerReadOnlyGroup S-1-5-21-4264192570- CONTOSO\RTCSetupDelegate S-1-5-21-4264192570- CONTOSO\CERTSVC_DCOM_ACCESS Alias S-1-5-21-4264192570-
LcsCmd.exe を使用してアクセス許可を付与するには
アクセス許可を付与する、ドメイン内の Office Communications Server を実行しているコンピュータにログオンします。Domain Admins グループのメンバであるアカウント、または同等の資格情報を持つアカウントを使用します。
コマンド プロンプトを開き、次のコマンドを入力します。
LCSCmd.exe /Domain[:<ドメイン FQDN>] /Action:CreateDelegation /Delegation:SetupAdmin /TrusteeGroup:<委任先のユニバーサル グループの名前> /TrusteeDomain:<トラスティ グループが存在するドメインの FQDN> /ServiceAccount:<RTC サービス アカウント名> /ComponentServiceAccount:<RTC コンポーネントのサービス アカウント名> /ComputerOU:<Office Communications Server を実行するコンピュータ オブジェクトが存在する OU またはコンテナの DN>各パラメータの説明は、次のとおりです。
TrusteeGroup は、アクセス許可を与えるグループです。
TrusteeDomain は、トラスティ グループが存在するドメインです。
ServiceAccount は、リアルタイム通信 (RTC) のサービス アカウント名です。
ComponentServiceAccount は、RTC コンポーネントのサービス アカウント名です。
ComputerOU には、トラスティ グループが Office Communications Server セットアップ タスクを実行できるコンピュータを含む OU の DN を指定します。
Office Communications Server をインストールする各コンピュータと、任意のエンタープライズ プール用の SQL Server バックエンド データベース サーバーを実行するコンピュータのローカルの Administrators グループに、新しいトラスティ グループを追加します。
組織内で Authenticated Users セキュリティ グループのアクセス許可が Active Directory ドメイン サービス (AD DS) から削除されている場合にセットアップ タスクを実行するには、RTCUniversalServerAdmins に新しいトラスティ グループを追加するか、フォレストのルートにある次の各コンテナに対する読み取りアクセス許可をトラスティ グループに手動で付与する必要があります。
フォレストのルート ドメイン
フォレストのルート ドメインのシステム コンテナ
構成コンテナ
アクセス許可が委任されるドメインのルート
コンピュータ オブジェクトとサービス アカウント オブジェクトの親コンテナ
コマンド プロンプトを開き、「
whoami.exe /all」と入力して、ユーザーが適切なアクセス許可を保持していることを確認します。出力は次のようになります。Everyone Well-known group S-1-1-0 BUILTIN\Administrators Alias S-1-5-32-544 BUILTIN\Users Alias S-1-5-32-545 NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 NT AUTHORITY\This Organization Well-known group S-1-5-15 LOCAL Well-known group S-1-2-0 CONTOSO\RTCUniversalUserReadOnlyGroup Group S-1-5-21-4264192570- CONTOSO\RTCUniversalGlobalWriteGroup Group S-1-5-21-4264192570- CONTOSO\RTCUniversalGlobalReadOnlyGroup S-1-5-21-4264192570- CONTOSO\RTCUniversalServerReadOnlyGroup S-1-5-21-4264192570- CONTOSO\delegatedLSSetup Group S-1-5-21-4264192570- CONTOSO\CERTSVC_DCOM_ACCESS Alias S-1-5-21-4264192570-