Delegando a administração do servidor somente leitura

Tópico modificado em: 2009-01-23

Para administrar os servidores do Office Communications Server com a capacidade somente leitura, um usuário deve ter uma conta no grupo Admins. do Domínio ou RTCUniversalReadOnlyAdmins. Algumas organizações não desejam conceder a associação no grupo Admins. do Domínio a usuários ou grupos que precisam somente exibir as propriedades do Office Communications Server. Você pode optar por adicionar usuários ou grupos não autorizados a RTCUniversalReadOnlyAdmins ou RTCUniversalServerReadOnlyGroup, que são grupos universais com permissões de administração somente leitura para todos os servidores da floresta. Delegando a administração somente leitura de servidores, você pode conceder a um usuário ou grupo o subconjunto de permissões necessárias para executar a administração somente leitura de um servidor específico do Office Communications Server.

A associação a um grupo de administração somente leitura de servidores pode ser útil para a solução de problemas em um servidor específico.

Ao delegar a administração somente leitura de servidores, você concede as seguintes permissões:

• Permissão de leitura para configurações globais.
• Permissão de leitura para uma UO (unidade organizacional) de computador especificada.
• Associação no grupo RTC Local Read-Only Administrators em todos os servidores de um pool especificado ou no servidor Standard Edition local.
• ReadOnlyRole em bancos de dados RTC (Real-time Communications) e RTCConfig do pool ou servidor.

Para delegar a administração somente leitura de servidores

1. Faça logon em um computador do domínio no qual deseja conceder permissões. Use uma conta que seja membro do grupo RTCUniversalServerAdmins e Admins. do Domínio ou que tenha direitos de usuário equivalentes.

2. Use o seguinte comando:

   LcsCmd /Domain[:<FQDN do domínio>] /Action:CreateDelegation 
   /Delegation:ReadOnlyAdmin /TrusteeGroup:<nome do grupo universal ao qual você delegará permissões> 
   /TrusteeDomain:<FQDN do domínio onde reside o grupo do objeto de confiança> 
   /ServiceAccount:<nome da conta do serviço RTC>
   /ComponentServiceAccount:<nome da conta de serviço do componente RTC>
   /ComputerOU:<DN da UO ou do contêiner onde residem os objetos de computador que executam o Office Communications Server>
   /PoolName:<Nome de um servidor Standard Edition ou de um pool Enterprise>
   [/ExtraServers:<FQDN do servidor1, FQDN do servidor2>]
   

   Em que:

   TrusteeGroup é o grupo ao qual você está concedendo permissões.

   TrusteeDomain é o domínio no qual você está concedendo permissões.

   ServiceAccount é o nome da conta do serviço RTC.

   ComponentServiceAccount é o nome da conta de serviço do componente RTC.

   ComputerOU especifica o nome diferenciado (DN) da UO que contém o computador que está executando o servidor ao qual você está concedendo permissões administrativas somente leitura do grupo do objeto de confiança.

   PoolName é o nome do servidor Standard Edition ou do pool Enterprise no qual o grupo do objeto de confiança realiza a administração somente leitura de servidores. Ele adiciona esse grupo ao grupo Administradores Locais de cada computador do pool e ao ReadOnlyRole dos bancos de dados back-end do SQL Server.

   ExtraServers é uma lista separada por vírgulas de FQDNs (nomes de domínio totalmente qualificados) dos computadores nos quais o grupo requer acesso, mas que não fazem parte do pool. Você pode digitar o FQDN dos Servidores de Arquivamento, Monitoring Servers (ou seja, CDR (Gravação de Detalhes das Chamadas) e QoE (Qualidade da Experiência)), Servidores de Mediação ou o FQDN interno de Servidores de Borda (ou seja, se o Servidores de Borda forem de domínio; se eles estiverem em um grupo de trabalho, não poderão ser delegados).