通过

  • 项目

帐户与权限要求

上一次修改主题: 2009-04-01

针对 Office Communications Server 2007 R2 的安全要求包括:

  • 管理凭据
  • 安全级别
  • 媒体网关安全性

管理凭据

下表概括了部署各种服务器角色所需的权限。

Dd425321.note(zh-cn,office.13).gif注意:
默认情况下,需要具有 Domain Admins 组的成员身份才能部署或激活加入 Active Directory 域的服务器。如果不希望将此权限级别授予部署 Office Communications Server 的组或用户,则可以使用安装委派向导为特定组提供此任务所需的权限子集。

表 1. 部署任务所需的管理凭据

过程 需要的管理凭据或角色

Standard Edition

 

安装必备的软件

RTCUniversalServerAdmins 组

Domain Admins 组

准备 Active Directory 域服务 (AD DS)

架构主机上的 Schema Admins 组成员和管理员权限

林根域的 EnterpriseAdmins 组的成员

EnterpriseAdmins 或 DomainAdmins 组的成员

准备 Windows 以进行安装

Administrators 组

创建并验证 DNS 记录

DNS Admins 组

部署并激活 Standard Edition 服务器和应用程序

RTCUniversalServerAdmins 组

Domain Admins 组

配置 Standard Edition 服务器

RTCUniversalServerAdmins 组

为 Office Communications Server 配置证书

Administrators 组

RTCUniversalServerAdmins 组

启动服务

RTCUniversalServerAdmins 组

验证服务器配置

RTCUniversalServerAdmins 组

(可选)配置 A/V 和 Web 会议

RTCUniversalServerAdmins 组

Enterprise Edition 合并拓扑

 

安装必备的软件

RTCUniversalServerAdmins 组

Domain Admins 组

准备 AD DS

架构主机上的 Schema Admins 组成员和管理员权限

林根域的 EnterpriseAdmins 组的成员

EnterpriseAdmins 或 DomainAdmins 组的成员

准备 Windows 以进行安装

Administrators 组

安装 SQL Server

本地管理员

为 Office Communications Server 配置 SQL Server

SQL Server 管理员

本地管理员

(可选)为池配置负载平衡器

负载平衡器管理员

创建并验证 DNS 记录

DNS Admins 组

创建池

RTCUniversalServerAdmins 组

Domain Admins 组

配置池和应用程序

RTCUniversalServerAdmins 组

向池添加服务器

Administrators 组

RTCUniversalServerAdmins 组

Domain Admins 组

为 Office Communications Server 配置证书

Administrators 组

RTCUniversalServerAdmins 组

启动服务

RTCUniversalServerAdmins

验证服务器和池配置

RTCUniversalServerAdmins

电话拨入式会议

 

安装并激活 Office Communications Server 2007 R2

Administrators 组

RTCUniversalServerAdmins 组

Domain Admins 组

激活会议助理和会议公告服务应用程序

RTCUniversalServerAdmins 组

Domain Admins 组

安装、激活和配置 Microsoft Office Communicator Web Access 2007 R2 版服务器

Administrators 组

Domain Admins 组

(可选)使远程用户可以访问 Communicator Web Access

Administrators 组

Domain Admins 组

测试电话拨入式会议网页

Office Communications Server 2007 R2 用户

创建一个或多个位置配置文件

RTCUniversalServerAdmins 组

配置全局策略以支持电话拨入式会议

RTCUniversalServerAdmins 组

部署中介服务器

RTCUniversalServerAdmins 组

部署第三方基本媒体网关

或者

配置中介服务器以执行 SIP 中继

RTCUniversalServerAdmins 组(用于配置中介服务器)

SIP 中继提供商的管理员

响应组服务

 

安装并激活 Office Communications Server 2007 R2

Administrators 组

RTCUniversalServerAdmins 组

Domain Admins 组

激活响应组服务应用程序

RTCUniversalServerAdmins 组

Domain Admins 组

添加代理、创建代理组,以及为服务器池创建队列

RTCUniversalServerAdmins 组

创建工作流

RTCUniversalServerAdmins 组

配置响应组选项卡

Domain Admins 组

存档服务器

 

安装必备的软件

Administrators 组和 Domain Admins 组(用于安装带有 Active Directory 集成的消息队列)

安装并激活存档服务器

Administrators 组

Domain Admins 组或 RTCUniversalServerAdmins 组

配置存档服务器关联

Administrators 组

配置用户以进行存档

RTCUniversalUserAdmins 组

启动存档服务

RTCUniversalUserAdmins 组

监控服务器

 

安装必备的软件

Administrators 组

Domain Admins 组(用于安装带有 Active Directory 集成的消息队列)

安装和激活监控服务器

Administrators 组

Domain Admins 组或 RTCUniversalServerAdmins 组

启动服务

Administrators 组

部署监控服务器报告

Administrators 组

配置监控服务器关联

Administrators 组

Communicator Web Access

 

安装和激活

Domain Admins

创建虚拟服务器

Domain Admins 或者 RTCUniversalServerAdmins 及 Local Administrators

发布 Communicator Web Access URL

Domain Admins 或者 RTCUniversalServerAdmins 及 Local Administrators

管理 Communicator Web Access 设置

Domain Admins 或者 RTCUniversalServerAdmins 及 Local Administrators

群聊

 

创建 SQL Server 数据库

数据库管理员

设置群聊帐户和权限

Administrators 组

为群聊功能获取证书

Administrators 组

安装群聊功能

Administrators 组

在 IIS 中配置网站设置

Administrators 组

将群聊管理工具连接至群聊功能

Administrators 组

频道服务管理员

配置群聊用户访问权限

Administrators 组

部署存档和合规性支持

数据库管理员

Administrators 组

管理工具

 

在不运行 Office Communications Server 的集中管理控制台上安装管理工具

Administrators 组

Domain Admins 组

配置用户帐户设置

RTCUniversalUserAdmins

配置所有其他设置(除用户帐户设置外)

RTCUniversalServerAdmins

边缘服务器

 

设置边缘服务器的基础结构

Administrators 组

设置边缘服务器

Administrators 组

Domain Admins 组或 RTCUniversalServerAdmins 组

配置环境

Administrators 组

Domain Admins 组或 RTCUniversalServerAdmins 组

验证边缘配置

Administrators 组

Domain Admins 组或 RTCUniversalServerAdmins 组

Communicator Mobile for Windows Mobile

 

安装必备的软件

管理员

安装 Communicator Mobile for Windows Mobile

管理员

安装自签名证书

管理员

配置客户端

管理员

测试 IM 和状态

管理员

Communicator Mobile for Java

 

确认满足先决条件和依存关系

管理员

部署 Communicator Mobile 组件

管理员

安装 Communicator Mobile for Java 客户端软件

管理员

配置和使用客户端

管理员

测试 IM 和状态

管理员

外部语音控制

 

安装并激活 Office Communications Server 2007 R2

Administrators 组

RTCUniversalServerAdmins 组

Domain Admins 组

激活外部语音控制应用程序

RTCUniversalServerAdmins 组

Domain Admins 组

启动应用程序

RTCUniversalServerAdmins 组

在受支持的移动客户端上测试外部语音拨号

Office Communications Server 2007 R2 用户

带有 PBX 共存的企业语音

 

部署 Office Communications Server,包括连接到 PBX 的中介服务器
  • 创建企业版池:RTCUniversalServerAdmins 及 Domain Admins 或者等效凭据
  • 配置池:RTCUniversalServerAdmins
  • 将服务器添加到池:RTCUniversalServerAdmins
  • 配置证书:RTCUniversalServerAdmins
  • 配置 Web 组件服务器证书:本地管理员凭据
  • 验证服务器和池的功能:RTCUniversalServerAdmins

部署 Office Communicator 2007

安装 Office Communicator 的计算机的管理员

为用户启用 IM 和状态

RTCUniversalUserAdmins 组

为企业语音配置 Communications Server

RTCUniversalServerAdmins 组

将 PBX 配置为将对 Office Communications Server 的呼叫分叉

RTCUniversalServerAdmins(用于从 AD DS 获取信息以将分机号转换为正确的电话 URI)

部署媒体网关(如果需要)

媒体网关是外部系统,有自己的身份验证和授权方案。如果媒体网关要求创建受信任的服务项,则您必须至少是 RTCUniversalServerAdmins 组的成员。

部署 RCC 网关(如果需要)

RCC 网关是外部系统,拥有自己的身份验证和授权方案。必须至少是 RTCUniversalServerAdmins 组的成员,才可以创建所需的受信任服务项。

为用户启用企业语音和 PBX 集成

RTCUniversalUserAdmins 组

单独的企业语音(无 PBX 共存)

 

部署 Office Communications Server
  • 创建企业版池:RTCUniversalServerAdmins 及 Domain Admins 或者等效凭据
  • 配置池:RTCUniversalServerAdmins
  • 将服务器添加到池:RTCUniversalServerAdmins
  • 配置证书:RTCUniversalServerAdmins
  • 配置 Web 组件服务器证书:本地管理员凭据
  • 验证服务器和池的功能:RTCUniversalServerAdmins

部署 Office Communicator 2007

安装 Office Communicator 的计算机的管理员

为企业语音配置 Office Communications Server

RTCUniversalUserAdmins 组

部署 Exchange Server 2007 统一消息,并将其配置为与 Office Communications Server 集成
  • 对于 Office Communications Server:RTCUniversalServerAdmins 组
  • 对于 Exchange Server:如果 Office Communications Server 和 Exchange Server 在同一个林中运行,则拥有 Exchange Organization Administrators 权限就足够了。
    Dd425321.note(zh-cn,office.13).gif注意:
    用于配置 Exchange 统一消息的用户帐户必须具有对 AD DS 中的 Office Communications Server 池的读取访问权限,以及对 Exchange 配置容器(第一个组织\UM 拨号计划容器、UM IP 网关容器、UM 自动助理容器等)的读取/写访问权限。

部署媒体网关

媒体网关是外部系统,有自己的身份验证和授权方案。如果媒体网关要求创建受信任的服务项,则您必须至少是 RTCUniversalServerAdmins 组的成员。

为用户启用企业语音

RTCUniversalUserAdmins 组

设备更新服务

 

部署

设备更新服务自动安装在 Web 组件服务器上。除部署 Standard Edition 或 Enterprise Edition 所需的权限外,无需特定的部署权限。

安全级别

部署 Office Communications Server 2007 R2 所需的安全级别取决于组织计划部署的组件。

Exchange UM 安全级别

Exchange 统一消息 (UM) 拨号计划支持三个不同的安全级别:Unsecured、SIPSecured 和 Secured。可以通过 UM 拨号计划的VoipSecurity 参数来配置安全级别。下表说明“相互 TLS (MTLS)”和/或“安全实时传输协议 (SRTP)”处于启用或禁用状态时相应的拨号计划安全级别。

表 2. 相互 TLS 和 SRTP 各种组合的 VoiPSecurity 值

安全级别 相互 TLS SRTP

Unsecured

禁用

禁用

SIPSecured

启用(必需)

禁用

Secured

启用(必需)

启用(必需)

在将 Exchange UM 与 Communications Server 2007 R2 相集成时,需要为每个语音配置文件选择最适合的拨号计划安全级别。在进行选择时,应当考虑下列内容:

  • MTLS 是在 Exchange UM 和 Office Communications Server 之间进行通信所必需的。因此,拨号计划安全级别不得设置为 Unsecured。
  • 当拨号计划安全性设置为 SIPSecured 时,SRTP 处于禁用状态。在这种情况下,Office Communicator 2007 R2 客户端加密级别必须设置为 rejected 或 optional。
  • 在将拨号计划安全性设置为 Secured 时,SRTP 处于启用状态,该协议是 Exchange UM 所必需的。在这种情况下,Office Communicator 2007 R2 客户端加密级别必须设置为 optional 或 required。

媒体网关安全性

在中介服务器和 Communications Server 网络之间双向流动的媒体通过使用 SRTP 加密。对于依赖 IPsec 来保护数据包安全的组织,如果要部署企业语音,则强烈建议在范围较小的媒体端口上创建一个例外。IPsec 所需的安全协商适用于普通的 UDP 或 TCP 连接,但是它们可能会将建立呼叫的速度减慢到无法接受的程度。

由于媒体网关从具有潜在安全漏洞的 PSTN 接听呼叫,因此建议采取下列缓解措施:

  • 在网关和中介服务器之间的链路上启用 TLS。这可以确保信号在网关和内部用户之间进行端到端加密。
  • 在具有两个网络适配器的计算机上部署中介服务器,从而以物理方式将媒体网关与内部网络隔离:第一个适配器仅接受来自内部网络的流量,第二个适配器接受来自媒体网关的流量。每个卡都配有一个单独的侦听地址,以便总是能够明确区分源自 Communications Server 网络的受信任通信和源自 PSTN 的不受信任通信。
    中介服务器的内部边缘应当配置成对应于一个唯一的静态路由,该路由用一个 IP 地址和一个端口号来描述。默认端口是 5061。
    中介服务器的外部边缘应当配置为媒体网关内部的下一个跃点代理。它应当由 IP 地址和端口号的唯一组合来标识。该 IP 地址应当不同于内部边缘的 IP 地址,但默认端口为 5060。