Delegando a instalação
Tópico modificado em: 2009-07-20
Algumas organizações não desejam conceder associação no grupo Admins. do Domínio a usuários ou grupos que estejam implantando o Office Communications Server. Nesse caso, a delegação da instalação oferece uma maneira de conceder a esses usuários ou grupos o subconjunto de permissões necessárias para instalar e ativar servidores que executam o Office Communications Server. Você pode conceder permissões para implantar o Office Communications Server usando a ferramenta de implantação da instalação (SetupEE.exe para configuração consolidada do servidor Enterprise Edition ou SetupSE.exe para o servidor Standard Edition) ou a ferramenta de linha de comando LcsCmd.exe.
.gif "Dd425275.note(pt-br,office.13).gif") Observação: |
|---|
| Embora o processo descrito neste tópico conceda permissões de instalação, todos os usuários do grupo do objeto de confiança também devem ser membros do grupo Administradores em um computador, para que possam instalar e ativar o Office Communications Server nesse computador. Em cenários de instalação e ativação do servidor Enterprise Edition, o grupo do objeto de confiança também deve ser membro do grupo Administradores no computador que está executando o banco de dados back-end do Microsoft SQL Server. |
O Editor ADSI (Active Directory Service Interfaces) é uma ferramenta que pode ser usada para localizar e copiar o nome diferenciado que precisa ser fornecido no assistente. Para o Windows Server 2003, o Editor de ADSI está incluído nas Ferramentas de Suporte. Para o Windows Server 2008, essa ferramenta está incluída nas Ferramentas de Administração de Servidor Remoto (RSAT).
Para o Windows Server 2003, as Ferramentas de Suporte estão disponíveis no CD do Windows Server 2003, na pasta \SUPPORT\TOOLS, ou você pode baixá-las em Ferramentas de Suporte do Windows Server 2003 Service Pack 2 de 32 bits. As instruções de instalação das Ferramentas de Suporte usando o CD do produto estão em Instalar Ferramentas de Suporte do Windows. O arquivo Adsiedit.dll é automaticamente registrado quando você instala as ferramentas de suporte. No entanto, se você tiver copiado os arquivos no computador, deverá executar o comando regsvr32 para registrar o arquivo adsiedit.dll e executar a ferramenta.
Para o Windows Server 2008, o pacote das Ferramentas de Administração de Servidor Remoto é copiado para o servidor quando você instala o Windows, mas ele não é instalado por padrão. Você usa o Gerenciador de Servidores para instalar as ferramentas individuais. O Editor ADSI está incluído em Ferramentas de Administração de Funções, Ferramentas de Serviços de Domínio Active Directory, Ferramentas do Controlador de Domínio Active Directory. Para obter detalhes sobre como instalar as Ferramentas de Administração de Servidor Remoto, consulte Instalando as Ferramentas de Administração de Servidor Remoto para o Windows Server 2008.
Para usar o Setup.exe a fim de conceder as permissões de instalação
Faça logon em um computador do domínio no qual deseja conceder permissões. Use uma conta que seja membro do grupo Admins. do Domínio ou que tenha direitos de usuário equivalentes.
No CD ou na pasta de instalação do Office Communications Server, execute SetupEE.exe (para a configuração consolidada do servidor Enterprise Edition) ou SetupSE.exe (para o servidor Standard Edition) a fim de iniciar a ferramenta de implantação.
Clique em Preparar Ambiente.
Clique em Preparar Active Directory.
Clique em Delegar Instalação e Administração.
Em Delegar Tarefas de Instalação, clique em Executar.
Na página Bem-vindo, clique em Avançar.
Na página Autorizar Grupo, em Selecionar domínio do Objeto de Confiança, especifique o domínio que contém o grupo ao qual você deseja delegar permissões.
Em Nome do grupo existente, digite o nome do grupo ao qual você deseja delegar permissões e clique em Avançar.
Observação:Esse deverá ser um grupo universal ou global. Ele não poderá ser um grupo local de domínio. Na página Local dos Objetos de Computador para Implantação, digite o nome diferenciado (DN) da unidade organizacional (UO) ou do contêiner que hospeda os objetos de computador nos quais o Office Communications Server será implantado.
Observação:Você pode usar a ferramenta Editor ADSI para navegar até as propriedades do grupo e, depois, copiar e colar o DN do grupo no assistente. Na página Conta de Serviço, digite a conta de serviço SIP e a conta de serviço do componente que serão usadas pelo Office Communications Server.
Na página Pronto para Executar a Delegação da Instalação, verifique suas configurações e clique em Avançar.
Quando o assistente for concluído, clique em Concluir.
Adicione o novo grupo do objeto de confiança ao grupo Administradores Locais de cada servidor no qual você deseja instalar o Office Communications Server e do computador que está executando o servidor de banco de dados back-end do SQL Server para pools Enterprise.
Se, na sua organização, as permissões do grupo de segurança Usuários Autenticados tiverem sido removidas do Active Directory, você deverá adicionar o novo grupo do objeto de confiança para tarefas de instalação ao grupo RTCUniversalServerAdmins ou conceder manualmente permissões de leitura ao grupo do objeto de confiança para os seguintes contêineres na raiz da floresta:
- Domínio raiz da floresta
- Contêiner do Sistema do domínio raiz da floresta
- Contêiner de configuração
- Raiz do domínio onde as permissões são delegadas
- Contêineres pai de objetos de computador e de objetos de conta de serviço
Abra um prompt de comando e digite
whoami.exe /allpara verificar se o usuário tem permissões apropriadas. O resultado deve ser semelhante ao mostrado a seguir:Todos Grupo conhecido S-1-1-0 BUILTIN\Administradores Alias S-1-5-32-544 BUILTIN\Usuários Alias S-1-5-32-545 NT AUTHORITY\INTERACTIVE Grupo conhecido S-1-5-4 NT AUTHORITY\Usuários Autenticados Grupo conhecido S-1-5-11 NT AUTHORITY\Esta organização Grupo conhecido S-1-5-15 LOCAL Grupo conhecido S-1-2-0 CONTOSO\Grupo RTCUniversalUserReadOnlyGroup S-1-5-21-4264192570- CONTOSO\Grupo RTCUniversalGlobalWriteGroup S-1-5-21-4264192570- CONTOSO\RTCUniversalGlobalReadOnlyGroup S-1-5-21-4264192570- CONTOSO\RTCUniversalServerReadOnlyGroup S-1-5-21-4264192570- CONTOSO\RTCSetupDelegate S-1-5-21-4264192570- CONTOSO\Alias CERTSVC_DCOM_ACCESS S-1-5-21-4264192570-
Para usar a ferramenta LcsCmd.exe a fim de conceder permissões
Faça logon em um computador que executa o Office Communications Server no domínio em que você deseja conceder permissões. Use uma conta que seja membro do grupo Admins. do Domínio ou que tenha credenciais equivalentes.
Abra um prompt de comando e digite o comando a seguir:
LCSCmd.exe /Domain[:<FQDN do domínio>] /Action:CreateDelegation /Delegation:SetupAdmin /TrusteeGroup:<nome do grupo universal ao qual você delegará permissões> /TrusteeDomain:<FQDN do domínio onde reside o grupo do objeto de confiança> /ServiceAccount:<nome da conta do serviço RTC> /ComponentServiceAccount:<nome da conta de serviço do componente RTC> /ComputerOU:<DN da OU ou contêiner onde residem os objetos de computador que executarão o Office Communications Server>Em que:
TrusteeGroup é o grupo ao qual você está concedendo permissões.
TrusteeDomain é o domínio no qual o grupo do objeto de confiança reside.
ServiceAccount é o nome da conta de serviço do RTC (Real-time Communications).
ComponentServiceAccount é o nome da conta de serviço do componente RTC.
ComputerOU especifica o DN da OU que contém os computadores nos quais o grupo do objeto de confiança pode executar tarefas de instalação do Office Communications Server.
Adicione o novo grupo do objeto de confiança ao grupo Administradores Locais de cada computador onde você deseja instalar o Office Communications Server e ao computador que está executando o servidor de banco de dados back-end do SQL Server para pools Enterprise.
Se, na sua organização, as permissões do grupo de segurança Usuários Autenticados tiverem sido removidas dos Serviços de Domínio Active Directory (AD DS), você deverá adicionar o novo grupo do objeto de confiança para tarefas de instalação ao grupo RTCUniversalServerAdmins ou conceder manualmente permissões de leitura ao grupo do objeto de confiança para os seguintes contêineres na raiz da floresta:
Domínio raiz da floresta
Contêiner do Sistema do domínio raiz da floresta
Contêiner de configuração
Raiz do domínio onde as permissões são delegadas
Contêineres pai de objetos de computador e de objetos de conta de serviço
Abra um prompt de comando e digite
whoami.exe /allpara verificar se o usuário tem permissões apropriadas. O resultado deve ser semelhante ao mostrado a seguir:Todos Grupo conhecido S-1-1-0 BUILTIN\Administradores Alias S-1-5-32-544 BUILTIN\Usuários Alias S-1-5-32-545 NT AUTHORITY\INTERACTIVE Grupo conhecido S-1-5-4 NT AUTHORITY\Usuários Autenticados Grupo conhecido S-1-5-11 NT AUTHORITY\Esta organização Grupo conhecido S-1-5-15 LOCAL Grupo conhecido S-1-2-0 CONTOSO\Grupo RTCUniversalUserReadOnlyGroup S-1-5-21-4264192570- CONTOSO\Grupo RTCUniversalGlobalWriteGroup S-1-5-21-4264192570- CONTOSO\RTCUniversalGlobalReadOnlyGroup S-1-5-21-4264192570- CONTOSO\RTCUniversalServerReadOnlyGroup S-1-5-21-4264192570- CONTOSO\Grupo delegatedLSSetup S-1-5-21-4264192570- CONTOSO\Alias CERTSVC_DCOM_ACCESS S-1-5-21-4264192570-