委派安装

上一次修改主题： 2009-07-20

一些组织不希望向部署 Office Communications Server 的用户或组授予 DomainAdmins 组中的成员身份。在这种情况下，委派安装提供了一种方式，可向这些用户或组授予安装和激活运行 Office Communications Server 的服务器所需的一部分权限。可以使用安装部署工具（对于 Enterprise Edition Server 合并配置为 SetupEE.exe，对于 Standard Edition Server 为 SetupSE.exe）或 LcsCmd.exe 命令行工具授予部署 Office Communications Server 所需的一些权限。

注意：
尽管本主题介绍的过程将授予安装权限，但如果用户属于受信任项组，则他们还必须是计算机上 Administrators 组的成员，才能在该计算机上安装和激活 Office Communications Server。对于安装和激活 Enterprise Edition Server 的情况，受信任项组还必须是运行 Microsoft SQL Server 后端数据库的计算机上 Administrators 组的成员。

使用 Active Directory Service Interfaces (ADSI) Edit 这个工具，可以查找和复制需要在向导中提供的可分辨名称。对于 Windows Server 2003，支持工具中附有 ADSI Edit。对于 Windows Server 2008，远程服务器管理工具 (RSAT) 中附有此工具。

对于 Windows Server 2003，支持工具在 Windows Server 2003 CD 的 \SUPPORT\TOOLS 文件夹中，也可以从 Windows Server 2003 Service Pack 2 32 位支持工具（英文）下载。有关从产品 CD 安装支持工具的说明在安装 Windows 支持工具中。安装支持工具时将自动注册 Adsiedit.dll。但是，如果将文件复制到计算机，则必须运行 regsvr32 命令来注册 adsiedit.dll 文件，然后才能运行工具。

对于 Windows Server 2008，在安装 Windows 时默认情况下会将 RSAT 包复制到服务器，但默认情况下不安装该包。请使用服务器管理器安装各个工具。ADSI Edit 包括在**“角色管理工具”、“Active Directory 域服务工具”、“Active Directory 域控制器工具”**下。有关安装远程服务器管理工具的详细信息，请参阅为 Windows Server 2008 安装远程服务器管理工具。

使用 Setup.exe 授予安装权限

1. 登录到要授予权限的域中的计算机。使用 Domain Admins 组的成员或拥有等效用户权限的帐户。

2. 从 Office Communications Server 安装文件夹或 CD 中运行 SetupEE.exe（对于 Enterprise Edition Server 合并配置）或 SetupSE.exe（对于 Standard Edition Server），以启动部署工具。

3. 单击**“准备环境”**。

4. 单击**“准备 Active Directory”**。

5. 单击**“委派安装和管理”**。

6. 在**“委派安装任务”处单击“运行”**。

7. 在**“欢迎”页上，单击“下一步”**。

8. 在**“授权组”页上的“选择受信任项域”**中指定要向其委派权限的组所在的域。

9. 在**“现有组的名称”中键入要向其委派权限的组的名称，然后单击“下一步”**。

   注意：
   此组必须是通用组或全局组，不能是域本地组。

10. 在**“用于部署的计算机对象的位置”**页上，键入承载将在其上部署 Office Communications Server 的计算机对象的组织单位 (OU) 或容器的可分辨名称 (DN)。

    注意：
    可以使用 ADSI Edit 工具导航至该组的属性，然后将该组的 DN 复制并粘贴到向导中。

11. 在**“服务帐户”**页上，键入 Office Communications Server 将使用的会话初始协议 (SIP) 服务帐户和组件服务帐户。

12. 在**“已准备好执行‘安装委派’”页上确认设置，然后单击“下一步”**。

13. 在向导完成时单击**“完成”**。

14. 将新的受信任项组添加到要安装 Office Communications Server 的每台服务器以及运行任何企业版池的 SQL Server 后端数据库服务器的计算机的 Local Administrators 组中。

15. 在您的组织中，如果已从 Active Directory 中删除 Authenticated Users 安全组权限，则必须将执行安装任务的新受信任项组添加到 RTCUniversalServerAdmins 中，或者手动为林根中的以下容器授予对该受信任项组的读取权限：

    • 林根域
    • 林根域“系统”容器
    • “配置”容器
    • 在其中委派权限的域的根
    • 计算机对象和服务帐户对象的父容器

16. 打开命令提示符，然后键入 whoami.exe /all，以确认用户具有适当的权限。输出应与以下示例类似：

    Everyone                                           Well-known group S-1-1-0
    BUILTIN\Administrators                             Alias S-1-5-32-544
    BUILTIN\Users                                      Alias S-1-5-32-545
    NT AUTHORITY\INTERACTIVE                           Well-known group S-1-5-4
    NT AUTHORITY\Authenticated Users                   Well-known group S-1-5-11
    NT AUTHORITY\This Organization                     Well-known group S-1-5-15
    LOCAL                                              Well-known group S-1-2-0
    CONTOSO\RTCUniversalUserReadOnlyGroup Group       S-1-5-21-4264192570-
    CONTOSO\RTCUniversalGlobalWriteGroup Group        S-1-5-21-4264192570-
    CONTOSO\RTCUniversalGlobalReadOnlyGroup           S-1-5-21-4264192570-
    CONTOSO\RTCUniversalServerReadOnlyGroup           S-1-5-21-4264192570-
    CONTOSO\RTCSetupDelegate                          S-1-5-21-4264192570-
    CONTOSO\CERTSVC_DCOM_ACCESS Alias                 S-1-5-21-4264192570-
    

使用 LcsCmd.exe 授予权限

1. 登录到域中要授予权限的运行 Office Communications Server 的计算机。使用 Domain Admins 组的成员或具有等效凭据的帐户。

2. 打开命令提示符，然后键入以下命令：

   LCSCmd.exe /Domain[:<域 FQDN>]
   /Action:CreateDelegation /Delegation:SetupAdmin
   /TrusteeGroup:<将要委派的通用组的名称>
   /TrusteeDomain:<受信任项组所在域的 FQDN>
   /ServiceAccount:<RTC 服务帐户名>
   /ComponentServiceAccount:<RTC 组件服务帐户名>
   /ComputerOU:<运行 Office Communications Server 的计算机对象所在 OU 或容器的 DN>
   

   其中：

   TrusteeGroup 是要向其授予权限的组。

   TrusteeDomain 是受信任项组所在的域。

   ServiceAccount 是实时通信 (RTC) 服务帐户名。

   ComponentServiceAccount 是 RTC 组件服务帐户名。

   ComputerOU 指定 OU 的 DN，该 OU 包含受信任项组可在其上运行 Office Communications Server 安装任务的计算机。

3. 将新的受信任项组添加到要安装 Office Communications Server 的每台计算机以及运行任何企业版池的 SQL Server 后端数据库服务器的计算机上的 Local Administrators 组中。

4. 在您的组织中，如果已从 Active Directory 域服务 (AD DS) 中删除 Authenticated Users 安全组权限，则必须将执行安装任务的新受信任项组添加到 RTCUniversalServerAdmins 中，或者手动向林根中的以下容器授予对该受信任项组的读取权限：

   • 林根域

   • 林根域“系统”容器

   • “配置”容器

   • 在其中委派权限的域的根

   • 计算机对象和服务帐户对象的父容器

   • 打开命令提示符，然后键入 whoami.exe /all，以确认用户具有适当的权限。输出应与以下示例类似：

     Everyone                                           Well-known group S-1-1-0
     BUILTIN\Administrators                             Alias S-1-5-32-544
     BUILTIN\Users                                      Alias S-1-5-32-545
     NT AUTHORITY\INTERACTIVE                           Well-known group S-1-5-4
     NT AUTHORITY\Authenticated Users                   Well-known group S-1-5-11
     NT AUTHORITY\This Organization                     Well-known group S-1-5-15
     LOCAL                                              Well-known group S-1-2-0
     CONTOSO\RTCUniversalUserReadOnlyGroup Group       S-1-5-21-4264192570-
     CONTOSO\RTCUniversalGlobalWriteGroup Group        S-1-5-21-4264192570-
     CONTOSO\RTCUniversalGlobalReadOnlyGroup           S-1-5-21-4264192570-
     CONTOSO\RTCUniversalServerReadOnlyGroup           S-1-5-21-4264192570-
     CONTOSO\delegatedLSSetup Group                    S-1-5-21-4264192570-
     CONTOSO\CERTSVC_DCOM_ACCESS Alias                 S-1-5-21-4264192570-