瞭解範圍和成員資格
上次修改主題的時間: 2012-02-08
使用者對聊天室的存取權是由範圍和成員資格共同管理;您可以使用範圍限制哪些使用者有資格新增為聊天室成員,不過使用者必須是聊天室的成員,才能張貼和讀取訊息。
類別的範圍決定哪些使用者可以成為類別以及所包含聊天室的成員。若安裝「群組聊天」,等於 Active Directory 網域服務 (AD DS) 整個網域的範圍將建立根類別。子類別的範圍可以與父類別的範圍不同 (如果父類別的設定允許的話)。不過,子類別的範圍不可能超出父類別的範圍,只能比父類別的範圍小,或是維持相同的範圍。因此,深入類別樹狀目錄時,根類別的範圍永遠最廣。每深入一層,範圍就會越小或維持相同範圍。
聊天室會根據範圍規則運作,不過只能在類別層級上設定範圍。聊天室一定會繼承其父類別的範圍。
Active Directory 網域服務與群組聊天
Office Communications Server 群組聊天倚賴 Active Directory 網域服務,讓要使用群組聊天的內部使用者集區使用其功能。 安裝群組聊天之後,新增使用者和使用者群組的網域至根類別範圍。接著您可以將這些使用者和群組新增至自己的類別和聊天室的範圍和成員資格。
您也可讓同盟使用者存取聊天室。因為同盟使用者未定義在 Active Directory 網域服務中,所以您必須使用「群組聊天管理工具」,才能明確準備同盟使用者。有關同盟使用者的詳細資訊,請參閱Setting Scope for the Root Category。
類別成員資格的運作方式
類別範圍指定所有可成為該類別聊天室的使用者與群組。
類別也可有成員清單。定義類別的成員清單有下列益處:
- 此類別的所有聊天室 (與子類別) 可從父類別繼承成員清單,除非聊天室管理員選擇覆寫。這樣一來,若您在類別中建立許多聊天室時,就不需要為各個通道定義成員資格。
- 類別成員的使用者可在該類別內建立新的聊天室。若管理員想限制使用者在該類別中建立新的聊天室,也可在類別層級停用此功能。
範圍策略
根類別的範圍必須包含將使用組織中任何聊天室的所有使用者。要存取任何聊天室的同盟使用者也必須包含在根類別範圍內。
如果您將允許同盟使用者存取,建議您先在根類別下建立兩個子類別:一個是所有使用者 (包括同盟使用者在內) 皆可使用的聊天室,另一個則僅限組織員工使用。然後在僅限員工使用的聊天室最上層子類別中縮小範圍,將同盟使用者排除在外。
您可能想在開放給同盟使用者使用的聊天室最上層子類別中限制檔案傳輸。
在這兩個主要分支內,根據組織的結構和需要分別建立更下層的類別。若要進行此項作業,建議您盡量讓每個類別層級擁有最廣的範圍,僅在安全上需要時才限制範圍。這樣一來,當您需要提供額外的聊天室存取權時,就可以新增成員至通道,而不需要調整範圍,以免對其他聊天室造成影響。
請務必確認範圍與角色已在同步操作後正確清除。您必須在執行預存程序前,檢查將從範圍/角色清除的原則清單。這是因為從 Active Directory 擷取的關係資料可能會根據 Active Directory 伺服器的妥善率而變更。使用 SQL Server 自動執行預存程序,或者您可手動執行。預存程序有預覽選項,可識別要清除的原則。執行預存程序後,您必須重新啟動「通道伺服器」,才能快取更新的範圍與角色。
縮小使用者群組的範圍
當您新增網域至根類別範圍時,可以將群組物件包含在該網域中的使用者群組,指定為伺服器上類別和聊天室的成員。
但是,這些群組不會自動開放給您來定義範圍。因為「群組聊天」 會強制使用只能依子類別縮小範圍的角色。若允許使用者透過父類別範圍未明確命名的使用群組來定義子類別的範圍,將違反此規則。發生違規情況的原因是未將使用者群組的成員資格清單限制到父類別的範圍清單。確認所有使用者群組的成員已在父類別範圍的唯一方法,是將使用者群組明確新增到父類別的範圍。因此,建議您使用 Active Directory 容器 (例如網域及組織單位) 將範圍定義為一般規則。如果必須使用使用者群組來定義群組,則必須新增使用者群組到根類別的範圍,以及路徑中的所有子類別。
包含多個網域使用者的群組
只有您授予存取之權利的網域成員才能加入聊天室。您新增到類別範圍的網域可包含內含其他網域使用者的使用者群組。如果您將其中一個群組新增到類別或通道的成員清單,而包含群組成員的網域並非全部都在類別的範圍內,則只有網域在範圍內的成員能夠存取聊天室。
使用道德管束的範圍範例
道德管束是一種將公司區隔成兩個群組的建構,不讓彼此互相通訊。目的是維護道德標準,避免利益衝突。道德管束用於許多不同的行業,包括金融服務業。例如,在大型投資公司裡,投資顧問群組的員工應該與併購群組的員工有所區隔,避免在實際宣佈併購前,利用內部消息進行內線交易。