樹系準備所進行的變更
上次修改主題的時間: 2011-11-08
本節將說明樹系準備步驟所建立的通用設定與物件,以及萬用服務和管理群組。
Active Directory 通用設定和物件
如果您將通用設定儲存在「設定」容器中 (如同全新 Microsoft Lync Server 2010 部署的作法),則樹系準備會使用現有的「服務」容器,並在 Configuration\Services 物件下新增 RTC Service物件。在 RTC 服務物件下,樹系準備會新增 msRTCSIP-GlobalContainer 類型的Global Settings物件。通用設定物件包含會套用到 Lync Server 2010 部署的所有設定。如果您將通用設定儲存在「系統」容器中,則樹系準備會使用根網域「系統」容器下的 Microsoft 容器,並在 System\Microsoft 物件下新增 RTC 服務物件。
樹系準備也會針對執行程序的根網域,新增 msRTCSIP-Domain 物件。
Active Directory 萬用服務和管理群組
樹系準備也會根據您指定的網域建立萬用群組,並為這些群組新增存取控制項目 (ACE)。這個步驟會在您指定之網域的使用者容器中,建立萬用群組。
萬用群組允許管理員存取以及管理全域設定和服務。樹系準備會新增下列類型的萬用群組:
系統管理群組 這些群組會定義 Lync Server 網路的管理員角色。
基礎結構群組 這些群組提供 Lync Server 基礎結構的特定區域權限。它們可做為系統管理群組元件的功能來運作。您不應該修改這些群組或將使用者直接新增至這些群組中。
服務群組 這些群組是存取各種 Lync Server 服務時所需的服務帳戶。
下表說明系統管理群組。
樹系準備時建立的系統管理群組
系統管理群組 | 描述 |
---|---|
RTCUniversalServerAdmins |
允許成員管理伺服器和集區設定,包括所有伺服器角色、全域設定以及使用者。 |
RTCUniversalUserAdmins |
可讓成員管理使用者設定,也可以將使用者從一個伺服器或集區移到另一個伺服器或集區。 |
RTCUniversalReadOnlyAdmins |
可讓成員讀取伺服器、集區和使用者設定。 |
下表說明基礎結構群組。
樹系準備時建立的基礎結構群組
基礎結構群組 | 描述 |
---|---|
RTCUniversalGlobalWriteGroup |
授與 Lync Server 之通用設定物件的寫入存取權。 |
RTCUniversalGlobalReadOnlyGroup |
授與 Lync Server 之通用設定物件的唯讀存取權。 |
RTCUniversalUserReadOnlyGroup |
授與 Lync Server 使用者設定的唯讀存取權。 |
RTCUniversalServerReadOnlyGroup |
授與 Lync Server 設定的唯讀存取權。這個群組沒有集區層級設定的存取權,只能存取個別伺服器特有的設定。 |
RTCUniversalSBATechnicians |
授與 Lync Server 設定的唯讀存取權,並且在安裝期間,會放在 Survivable Branch Appliance 的 Local Administrators 群組中。 |
下表說明服務群組。
樹系準備時建立的服務群組
服務群組 | 描述 |
---|---|
RTCHSUniversalServices |
包含用以執行前端伺服器和 Standard Edition Server 的服務帳戶。此群組可讓伺服器讀取/寫入 Lync Server 通用設定和 Active Directory 使用者物件。 |
RTCComponentUniversalServices |
包含用以執行 A/V 會議伺服器、Web 服務、中繼伺服器、封存伺服器與監控伺服器的服務帳戶。 |
RTCProxyUniversalServices |
包含用以執行 Lync Server Edge Server 的服務帳戶。 |
RTCUniversalConfigReplicator |
包括可參與 Lync Server中央管理存放區複寫的伺服器。 |
RTCSBAUniversalServices |
授與 Lync Server 設定的唯讀存取權,但可容許設定 Survivable Branch 伺服器和 Survivable Branch Appliance 部署的安裝。 |
接著,樹系準備會將服務和管理群組新增到適當的基礎結構群組,如下所示:
新增 RTCUniversalServerAdmins 到 RTCUniversalGlobalReadOnlyGroup、RTCUniversalGlobalWriteGroup、RTCUniversalServerReadOnlyGroup 和 RTCUniversalUserReadOnlyGroup。
新增 RTCUniversalUserAdmins 做為 RTCUniversalGlobalReadOnlyGroup、RTCUniversalServerReadOnlyGroup 和 RTCUniversalUserReadOnlyGroup 的成員。
新增 RTCHSUniversalServices、RTCComponentUniversalServices 和 RTCUniversalReadOnlyAdmins 做為 RTCUniversalGlobalReadOnlyGroup、RTCUniversalServerReadOnlyGroup 和 RTCUniversalUserReadOnlyGroup 的成員。
樹系準備也會建立下列角色型存取控制 (RBAC) 群組:
CSAdministrator
CSArchivingAdministrator
CSHelpDesk
CSLocationAdministrator
CSResponseGroupAdministrator
CSServerAdministrator
CSUserAdministrator
CSViewOnlyAdministrator
CSVoiceAdministrator
如需 RBAC 角色以及各角色可執行的工作的詳細資訊,請參閱<規劃>文件中的角色型存取控制。
樹系準備會同時建立私人與公用 ACE。它會在 Lync Server 所使用的通用設定容器上建立私人 ACE。只有 Lync Server 會使用此容器,且該容器會位於根網域的設定容器或系統容器中,視您儲存通用設定的位置而定。樹系準備所建立的公用 ACE 列於下表。
樹系準備建立的公用 ACE。
ACE | RTCUniversalGlobalReadOnlyGroup |
---|---|
讀取根網域系統容器 (非繼承的)* |
X |
讀取設定的 DisplaySpecifiers 容器 (非繼承的) |
X |
附註: |
---|
*非繼承的 ACE 不會授與這些容器下子物件的存取權。繼承的 ACE 則會授與這些容器下子物件的存取權。 |
樹系準備會在組態命名內容下的設定容器上,執行下列工作:
在使用者、連絡人和 InetOrgPerson 之語言顯示規範的 adminContextMenu 和 adminPropertyPages 屬性下方,為 RTC property 頁面新增 {AB255F23-2DBD-4bb6-891D-38754AC280EF} 項目 (例如 CN=user-Display、CN=409、CN=DisplaySpecifiers)。
在套用到 User 和 Contact 類別的 Extended-Rights 下方,新增 controlAccessRight 類型的 RTCPropertySet 物件。
在套用到 User、Contact、OU 與 DomainDNS 類別的 Extended-Rights 下方,新增 controlAccessRight 類型的 RTCUserSearchPropertySet 物件。
在每一個語言組織單位 (OU) 顯示規範 (例如,CN=organizationalUnit-Display,CN=409,CN=DisplaySpecifiers) 的 extraColumns 屬性下新增 msRTCSIP-PrimaryUserAddress,並複製預設顯示 (例如,CN=default-Display、CN=409、CN=DisplaySpecifiers) 的 extraColumns 屬性值。
在 Users、Contacts 與 InetOrgPerson 物件的每一個語言顯示規範的 attributeDisplayNames 屬性下,新增 msRTCSIP-PrimaryUserAddress、msRTCSIP-PrimaryHomeServer 與 msRTCSIP-UserEnabled 篩選屬性 (以英文為例:CN=user-Display、CN=409、CN=DisplaySpecifiers)。