Skype for Business Server中的林准备所做的更改
本部分介绍全局设置和对象,以及林准备步骤创建的通用服务和管理组。
Active Directory 全局设置和对象
如果将全局设置 (存储在配置容器中,就像所有新的Skype for Business Server部署) 一样,则林准备将使用现有的服务容器,并在 Configuration\Services 对象下添加 RTC 服务对象。 在 RTC 服务对象下,林准备添加类型为 msRTCSIP-GlobalContainer 的 全局设置 对象。 全局设置对象包含应用于Skype for Business Server部署的所有设置。 如果将全局设置存储在系统容器中,则林准备使用根域系统容器下的 Microsoft 容器和 System\Microsoft 对象下的 RTC 服务对象。
林准备还为运行该过程的根域添加了一个新的 msRTCSIP-Domain 对象。
Active Directory 通用服务和管理组
林准备基于指定的域创建通用组,并为这些组添加访问控制条目 (ACE) 。 此步骤在指定的域的用户容器中创建通用组。
通用组允许管理员访问和管理全局设置和服务。 林准备添加了以下类型的通用组:
管理组这些组定义Skype for Business Server网络的管理员角色。
基础结构组这些组提供访问Skype for Business Server基础结构的特定区域的权限。 它们充当管理组的组件。 不应修改这些组或直接向这些组添加用户。
服务组这些组是访问各种Skype for Business Server服务所需的服务帐户。
下表介绍了管理组。
在林准备期间创建的管理组
| 管理组 | 说明 |
|---|---|
| RTCUniversalServerAdmins |
允许成员管理服务器和池设置,包括所有服务器角色、全局设置和用户。 |
| RTCUniversalUserAdmins |
允许成员管理用户设置并将用户从一个服务器或池移到另一个服务器或池。 |
| RTCUniversalReadOnlyAdmins |
允许成员读取服务器、池和用户设置。 |
下表描述了基础结构组。
在林准备期间创建的基础结构组
| 基础结构组 | 说明 |
|---|---|
| RTCUniversalGlobalWriteGroup |
授予对Skype for Business Server的全局设置对象的写入访问权限。 |
| RTCUniversalGlobalReadOnlyGroup |
授予对Skype for Business Server的全局设置对象的只读访问权限。 |
| RTCUniversalUserReadOnlyGroup |
授予对Skype for Business Server用户设置的只读访问权限。 |
| RTCUniversalServerReadOnlyGroup |
授予对Skype for Business Server设置的只读访问权限。 此组无权访问池级别设置,只能访问特定于单个服务器的设置。 |
| RTCUniversalSBATechnicians |
授予对Skype for Business Server配置的只读访问权限,并在安装期间放置在可生存分支设备的“本地管理员”组中。 |
下表描述了服务组。
在林准备期间创建的服务组
| 服务组 | 说明 |
|---|---|
| RTCHSUniversalServices |
包括用于运行前端服务器和 Standard Edition 服务器的服务帐户。 此组允许服务器对Skype for Business Server全局设置和 Active Directory 用户对象进行读/写访问。 |
| RTCComponentUniversalServices |
包括用于运行 A/V 会议服务器、Web 服务、中介服务器、存档服务器和监视服务器的服务帐户。 |
| RTCProxyUniversalServices |
包括用于运行Skype for Business Server边缘服务器的服务帐户。 |
| RTCUniversalConfigReplicator |
包括可以参与Skype for Business Server中央管理存储复制的服务器。 |
| RTCSBAUniversalServices |
授予对Skype for Business Server设置的只读访问权限,但允许配置可幸存的分支服务器和生存的分支设备部署。 |
然后,林准备将服务和管理组添加到相应的基础结构组,如下所示:
RTCUniversalServerAdmins 已添加到 RTCUniversalGlobalReadOnlyGroup、RTCUniversalGlobalWriteGroup、RTCUniversalServerReadOnlyGroup 和 RTCUniversalUserReadOnlyGroup。
RTCUniversalUserAdmins 作为 RTCUniversalGlobalReadOnlyGroup、RTCUniversalServerReadOnlyGroup 和 RTCUniversalUserReadOnlyGroup 的成员添加。
RTCHSUniversalServices、RTCComponentUniversalServices 和 RTCUniversalReadOnlyAdmins 作为 RTCUniversalGlobalReadOnlyGroup、RTCUniversalServerReadOnlyGroup 和 RTCUniversalUserReadOnlyGroup 的成员添加。
林准备还会 (RBAC) 组创建以下基于角色的访问控制:
CSAdministrator
CSArchivingAdministrator
CSHelpDesk
CSLocationAdministrator
CSResponseGroupAdministrator
CSServerAdministrator
CSUserAdministrator
CSViewOnlyAdministrator
CSVoiceAdministrator
CsPersistentChatAdministator
CsResponseGroupManager
有关 RBAC 角色以及每个角色允许的任务的详细信息,请参阅规划文档中的基于角色的访问控制。
林准备创建专用和公用 ACE。 它在 Skype for Business Server 使用的全局设置容器上创建专用 ACE。 此容器仅由 Skype for Business Server 使用,并且位于配置容器或根域中的系统容器中,具体取决于全局设置的存储位置。 下表列出了由林准备创建的公共 ACE。
林准备创建的公共 ACE
| Ace | RTCUniversalGlobalReadOnlyGroup |
|---|---|
| 读取根域系统容器 (未继承) \* |
X |
| 读取配置的 DisplaySpecifiers 容器 (未继承) |
X |
注意
\*未继承的 ACE 不会授予对这些容器下的子对象的访问权限。 继承的 ACE 授予对这些容器下的子对象的访问权限。
在配置容器上,在配置命名上下文下,林准备执行以下任务:
为 RTC 属性页添加一个条目 {AB255F23-2DBD-4bb6-891D-38754AC280EF} 下的语言显示说明符的 adminContextMenu 和 adminPropertyPages 属性, contacts 和 InetOrgPersons (例如,CN=user-Display,CN=409,CN=DisplaySpecifiers) 。
在适用于 User 和 Contact 类的 Extended-Rights 下添加 controlAccessRight 类型的 RTCPropertySet 对象。
在适用于 User、Contact、OU 和 DomainDNS 类的 Extended-Rights 下添加 controlAccessRight 类型的 RTCUserSearchPropertySet 对象。
在每个语言组织单位的 extraColumns 属性下添加 msRTCSIP-PrimaryUserAddress, (OU) 显示说明符 (例如, CN=organizationUnit-Display,CN=409,CN=DisplaySpecifiers) 并复制默认显示 (的 extraColumns 属性的值,例如 CN=default-Display,CN=409,CN=DisplaySpecifiers) 。
在 users、Contacts 和 InetOrgPerson 对象的每个语言显示说明符的 attributeDisplayNames 属性下添加 msRTCSIP-PrimaryUserAddress、msRTCSIP-PrimaryHomeServer 和 msRTCSIP-UserEnabled 筛选属性, (例如英语:CN=user-Display,CN=409,CN=DisplaySpecifiers) 。