帐户与权限要求
上一次修改主题: 2009-04-01
针对 Office Communications Server 2007 R2 的安全要求包括:
- 管理凭据
- 安全级别
- 媒体网关安全性
管理凭据
下表概括了部署各种服务器角色所需的权限。
![]() |
---|
默认情况下,需要具有 Domain Admins 组的成员身份才能部署或激活加入 Active Directory 域的服务器。如果不希望将此权限级别授予部署 Office Communications Server 的组或用户,则可以使用安装委派向导为特定组提供此任务所需的权限子集。 |
表 1. 部署任务所需的管理凭据
过程 | 需要的管理凭据或角色 |
---|---|
Standard Edition |
|
安装必备的软件 |
RTCUniversalServerAdmins 组 Domain Admins 组 |
准备 Active Directory 域服务 (AD DS) |
架构主机上的 Schema Admins 组成员和管理员权限 林根域的 EnterpriseAdmins 组的成员 EnterpriseAdmins 或 DomainAdmins 组的成员 |
准备 Windows 以进行安装 |
Administrators 组 |
创建并验证 DNS 记录 |
DNS Admins 组 |
部署并激活 Standard Edition 服务器和应用程序 |
RTCUniversalServerAdmins 组 Domain Admins 组 |
配置 Standard Edition 服务器 |
RTCUniversalServerAdmins 组 |
为 Office Communications Server 配置证书 |
Administrators 组 RTCUniversalServerAdmins 组 |
启动服务 |
RTCUniversalServerAdmins 组 |
验证服务器配置 |
RTCUniversalServerAdmins 组 |
(可选)配置 A/V 和 Web 会议 |
RTCUniversalServerAdmins 组 |
Enterprise Edition 合并拓扑 |
|
安装必备的软件 |
RTCUniversalServerAdmins 组 Domain Admins 组 |
准备 AD DS |
架构主机上的 Schema Admins 组成员和管理员权限 林根域的 EnterpriseAdmins 组的成员 EnterpriseAdmins 或 DomainAdmins 组的成员 |
准备 Windows 以进行安装 |
Administrators 组 |
安装 SQL Server |
本地管理员 |
为 Office Communications Server 配置 SQL Server |
SQL Server 管理员 本地管理员 |
(可选)为池配置负载平衡器 |
负载平衡器管理员 |
创建并验证 DNS 记录 |
DNS Admins 组 |
创建池 |
RTCUniversalServerAdmins 组 Domain Admins 组 |
配置池和应用程序 |
RTCUniversalServerAdmins 组 |
向池添加服务器 |
Administrators 组 RTCUniversalServerAdmins 组 Domain Admins 组 |
为 Office Communications Server 配置证书 |
Administrators 组 RTCUniversalServerAdmins 组 |
启动服务 |
RTCUniversalServerAdmins |
验证服务器和池配置 |
RTCUniversalServerAdmins |
电话拨入式会议 |
|
安装并激活 Office Communications Server 2007 R2 |
Administrators 组 RTCUniversalServerAdmins 组 Domain Admins 组 |
激活会议助理和会议公告服务应用程序 |
RTCUniversalServerAdmins 组 Domain Admins 组 |
安装、激活和配置 Microsoft Office Communicator Web Access 2007 R2 版服务器 |
Administrators 组 Domain Admins 组 |
(可选)使远程用户可以访问 Communicator Web Access |
Administrators 组 Domain Admins 组 |
测试电话拨入式会议网页 |
Office Communications Server 2007 R2 用户 |
创建一个或多个位置配置文件 |
RTCUniversalServerAdmins 组 |
配置全局策略以支持电话拨入式会议 |
RTCUniversalServerAdmins 组 |
部署中介服务器 |
RTCUniversalServerAdmins 组 |
部署第三方基本媒体网关 或者 配置中介服务器以执行 SIP 中继 |
RTCUniversalServerAdmins 组(用于配置中介服务器) SIP 中继提供商的管理员 |
响应组服务 |
|
安装并激活 Office Communications Server 2007 R2 |
Administrators 组 RTCUniversalServerAdmins 组 Domain Admins 组 |
激活响应组服务应用程序 |
RTCUniversalServerAdmins 组 Domain Admins 组 |
添加代理、创建代理组,以及为服务器池创建队列 |
RTCUniversalServerAdmins 组 |
创建工作流 |
RTCUniversalServerAdmins 组 |
配置响应组选项卡 |
Domain Admins 组 |
存档服务器 |
|
安装必备的软件 |
Administrators 组和 Domain Admins 组(用于安装带有 Active Directory 集成的消息队列) |
安装并激活存档服务器 |
Administrators 组 Domain Admins 组或 RTCUniversalServerAdmins 组 |
配置存档服务器关联 |
Administrators 组 |
配置用户以进行存档 |
RTCUniversalUserAdmins 组 |
启动存档服务 |
RTCUniversalUserAdmins 组 |
监控服务器 |
|
安装必备的软件 |
Administrators 组 Domain Admins 组(用于安装带有 Active Directory 集成的消息队列) |
安装和激活监控服务器 |
Administrators 组 Domain Admins 组或 RTCUniversalServerAdmins 组 |
启动服务 |
Administrators 组 |
部署监控服务器报告 |
Administrators 组 |
配置监控服务器关联 |
Administrators 组 |
Communicator Web Access |
|
安装和激活 |
Domain Admins |
创建虚拟服务器 |
Domain Admins 或者 RTCUniversalServerAdmins 及 Local Administrators |
发布 Communicator Web Access URL |
Domain Admins 或者 RTCUniversalServerAdmins 及 Local Administrators |
管理 Communicator Web Access 设置 |
Domain Admins 或者 RTCUniversalServerAdmins 及 Local Administrators |
群聊 |
|
创建 SQL Server 数据库 |
数据库管理员 |
设置群聊帐户和权限 |
Administrators 组 |
为群聊功能获取证书 |
Administrators 组 |
安装群聊功能 |
Administrators 组 |
在 IIS 中配置网站设置 |
Administrators 组 |
将群聊管理工具连接至群聊功能 |
Administrators 组 频道服务管理员 |
配置群聊用户访问权限 |
Administrators 组 |
部署存档和合规性支持 |
数据库管理员 Administrators 组 |
管理工具 |
|
在不运行 Office Communications Server 的集中管理控制台上安装管理工具 |
Administrators 组 Domain Admins 组 |
配置用户帐户设置 |
RTCUniversalUserAdmins |
配置所有其他设置(除用户帐户设置外) |
RTCUniversalServerAdmins |
边缘服务器 |
|
设置边缘服务器的基础结构 |
Administrators 组 |
设置边缘服务器 |
Administrators 组 Domain Admins 组或 RTCUniversalServerAdmins 组 |
配置环境 |
Administrators 组 Domain Admins 组或 RTCUniversalServerAdmins 组 |
验证边缘配置 |
Administrators 组 Domain Admins 组或 RTCUniversalServerAdmins 组 |
Communicator Mobile for Windows Mobile |
|
安装必备的软件 |
管理员 |
安装 Communicator Mobile for Windows Mobile |
管理员 |
安装自签名证书 |
管理员 |
配置客户端 |
管理员 |
测试 IM 和状态 |
管理员 |
Communicator Mobile for Java |
|
确认满足先决条件和依存关系 |
管理员 |
部署 Communicator Mobile 组件 |
管理员 |
安装 Communicator Mobile for Java 客户端软件 |
管理员 |
配置和使用客户端 |
管理员 |
测试 IM 和状态 |
管理员 |
外部语音控制 |
|
安装并激活 Office Communications Server 2007 R2 |
Administrators 组 RTCUniversalServerAdmins 组 Domain Admins 组 |
激活外部语音控制应用程序 |
RTCUniversalServerAdmins 组 Domain Admins 组 |
启动应用程序 |
RTCUniversalServerAdmins 组 |
在受支持的移动客户端上测试外部语音拨号 |
Office Communications Server 2007 R2 用户 |
带有 PBX 共存的企业语音 |
|
部署 Office Communications Server,包括连接到 PBX 的中介服务器 |
|
部署 Office Communicator 2007 |
安装 Office Communicator 的计算机的管理员 |
为用户启用 IM 和状态 |
RTCUniversalUserAdmins 组 |
为企业语音配置 Communications Server |
RTCUniversalServerAdmins 组 |
将 PBX 配置为将对 Office Communications Server 的呼叫分叉 |
RTCUniversalServerAdmins(用于从 AD DS 获取信息以将分机号转换为正确的电话 URI) |
部署媒体网关(如果需要) |
媒体网关是外部系统,有自己的身份验证和授权方案。如果媒体网关要求创建受信任的服务项,则您必须至少是 RTCUniversalServerAdmins 组的成员。 |
部署 RCC 网关(如果需要) |
RCC 网关是外部系统,拥有自己的身份验证和授权方案。必须至少是 RTCUniversalServerAdmins 组的成员,才可以创建所需的受信任服务项。 |
为用户启用企业语音和 PBX 集成 |
RTCUniversalUserAdmins 组 |
单独的企业语音(无 PBX 共存) |
|
部署 Office Communications Server |
|
部署 Office Communicator 2007 |
安装 Office Communicator 的计算机的管理员 |
为企业语音配置 Office Communications Server |
RTCUniversalUserAdmins 组 |
部署 Exchange Server 2007 统一消息,并将其配置为与 Office Communications Server 集成 |
|
部署媒体网关 |
媒体网关是外部系统,有自己的身份验证和授权方案。如果媒体网关要求创建受信任的服务项,则您必须至少是 RTCUniversalServerAdmins 组的成员。 |
为用户启用企业语音 |
RTCUniversalUserAdmins 组 |
设备更新服务 |
|
部署 |
设备更新服务自动安装在 Web 组件服务器上。除部署 Standard Edition 或 Enterprise Edition 所需的权限外,无需特定的部署权限。 |
安全级别
部署 Office Communications Server 2007 R2 所需的安全级别取决于组织计划部署的组件。
Exchange UM 安全级别
Exchange 统一消息 (UM) 拨号计划支持三个不同的安全级别:Unsecured、SIPSecured 和 Secured。可以通过 UM 拨号计划的VoipSecurity 参数来配置安全级别。下表说明“相互 TLS (MTLS)”和/或“安全实时传输协议 (SRTP)”处于启用或禁用状态时相应的拨号计划安全级别。
表 2. 相互 TLS 和 SRTP 各种组合的 VoiPSecurity 值
安全级别 | 相互 TLS | SRTP |
---|---|---|
Unsecured |
禁用 |
禁用 |
SIPSecured |
启用(必需) |
禁用 |
Secured |
启用(必需) |
启用(必需) |
在将 Exchange UM 与 Communications Server 2007 R2 相集成时,需要为每个语音配置文件选择最适合的拨号计划安全级别。在进行选择时,应当考虑下列内容:
- MTLS 是在 Exchange UM 和 Office Communications Server 之间进行通信所必需的。因此,拨号计划安全级别不得设置为 Unsecured。
- 当拨号计划安全性设置为 SIPSecured 时,SRTP 处于禁用状态。在这种情况下,Office Communicator 2007 R2 客户端加密级别必须设置为 rejected 或 optional。
- 在将拨号计划安全性设置为 Secured 时,SRTP 处于启用状态,该协议是 Exchange UM 所必需的。在这种情况下,Office Communicator 2007 R2 客户端加密级别必须设置为 optional 或 required。
媒体网关安全性
在中介服务器和 Communications Server 网络之间双向流动的媒体通过使用 SRTP 加密。对于依赖 IPsec 来保护数据包安全的组织,如果要部署企业语音,则强烈建议在范围较小的媒体端口上创建一个例外。IPsec 所需的安全协商适用于普通的 UDP 或 TCP 连接,但是它们可能会将建立呼叫的速度减慢到无法接受的程度。
由于媒体网关从具有潜在安全漏洞的 PSTN 接听呼叫,因此建议采取下列缓解措施:
- 在网关和中介服务器之间的链路上启用 TLS。这可以确保信号在网关和内部用户之间进行端到端加密。
- 在具有两个网络适配器的计算机上部署中介服务器,从而以物理方式将媒体网关与内部网络隔离:第一个适配器仅接受来自内部网络的流量,第二个适配器接受来自媒体网关的流量。每个卡都配有一个单独的侦听地址,以便总是能够明确区分源自 Communications Server 网络的受信任通信和源自 PSTN 的不受信任通信。
中介服务器的内部边缘应当配置成对应于一个唯一的静态路由,该路由用一个 IP 地址和一个端口号来描述。默认端口是 5061。
中介服务器的外部边缘应当配置为媒体网关内部的下一个跃点代理。它应当由 IP 地址和端口号的唯一组合来标识。该 IP 地址应当不同于内部边缘的 IP 地址,但默认端口为 5060。