Beruflich Dokumente
Kultur Dokumente
Preparar Active Directory Delegar la configuracin y la administracin Referencia de esquema de Active Directory
Publicado: Septiembre 2007
La informacin contenida en este documento, incluidas las direcciones URL as como otras referencias a sitios web de Internet, est sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, las compaas, organizaciones, productos, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares y acontecimientos aqu mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, productos, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares o acontecimientos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Sin limitar los derechos que se derivan de las leyes de derechos de autor, ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperacin de datos, ni transmitida de ninguna forma, ni por ningn medio, ya sea electrnico o mecnico, incluidas fotocopias o grabacin, con ningn propsito, sin el permiso previo por escrito de Microsoft Corporation.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor u otros derechos de propiedad intelectual que cubran el contenido de este documento. A menos que se indique explcitamente en un contrato de licencia por escrito de Microsoft, el presente documento no otorga ninguna licencia sobre esas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual.
Microsoft, Active Directory, MS-DOS, Outlook, SharePoint, Windows, Windows NT y Windows Server son marcas comerciales del grupo de compaas de Microsoft. El resto de marcas comerciales son propiedad de sus respectivos propietarios.
Contenido
Introduccin......................................................................................5 Cmo est estructurada esta gua.................................................5 Cmo usar esta gua.....................................................................7 Trminos y conceptos...................................................................7 Requisitos de infraestructura........................................................8 Informacin general de la preparacin de Active Directory................9 Informacin general sobre el paso Preparar el esquema.............10 Informacin general sobre el paso Preparar el bosque................10 Informacin general sobre el paso Preparar el dominio...............15 Preparacin de Active Directory.......................................................18 Mtodos de implementacin.......................................................19 Preparar Active Directory con la herramienta de implementacin del programa de instalacin.............................................................20 Preparar Active Directory mediante la lnea de comandos...........26 Delegacin de la configuracin y la administracin..........................30 Caso 1: Delegar la configuracin (instalacin y activacin).........31 Caso 2: Delegar la administracin del servidor............................35 Caso 3: Delegar la administracin de usuarios............................38 Caso 4: Delegar la administracin del servidor de slo lectura....39 Caso 5: Delegar la administracin de usuarios de slo lectura. . . .41 Referencia de esquema de Active Directory.....................................42 Clases de Active Directory..........................................................42 Atributos de Active Directory......................................................47 Descripcin de los atributos........................................................55 Apndice A: Cmo preparar Active Directory bloqueado..................73 Caso 1: se quitan los permisos de usuarios autenticados............75 Caso 2: se deshabilita la herencia de permisos en los contenedores Computer, User o InetOrgPerson.................................................77
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 5
Introduccin
Para implementar y usar Microsoft Office Communications Server 2007, debe extender el esquema de los Servicios de dominio del servicio de directorios Microsoft Active Directory y, a continuacin, crear y configurar los objetos en Active Directory. Estas extensiones agregan los nuevos atributos y clases de Active Directory necesarios para que Office Communications Server 2007 funcione. En esta gua se describen las extensiones y se tratan las reas siguientes: Cmo preparar Active Directory para que pueda implementar y usar Office Communications Server 2007. Cmo delegar los permisos de configuracin y administracin. Referencia de esquema de Active Directory.
Apndice A: cmo preparar Active Directory bloqueado. Explica el modo de preparar Active Directory cuando estn deshabilitadas la herencia de permisos y las entradas de control de acceso para usuarios autenticados.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 7
Trminos y conceptos
Active Directory: servicio de directorio que almacena informacin sobre los objetos de una red y la pone a disposicin de los usuarios y de los administradores de red. Clase: en Active Directory, caractersticas de un objeto y tipo de informacin que puede contener. Para cada clase de objeto, el esquema define qu atributos debe tener una instancia de la clase y qu atributos adicionales puede tener. Dominio: grupo de equipos que forman parte de una red y que comparten una base de datos de directorio comn. Un dominio se administra como una unidad con reglas y procedimientos comunes. Cada dominio tiene un nombre nico. Un dominio de Active Directory es un conjunto de equipos definido por el administrador de una red que est basado en el sistema operativo de Microsoft Windows . Estos equipos comparten las mismas bases de datos de directorio, directivas de seguridad y relaciones de seguridad con otros dominios. Un dominio de Active Directory proporciona acceso a las cuentas de usuario y de grupo centralizadas que mantiene el administrador del dominio. Controlador de dominio: servidor incluido en un bosque de Active Directory que contiene una copia modificable de la base de datos de Active Directory, participa en la replicacin de Active Directory y controla el acceso a los recursos de la red. Bosque: conjunto de uno o varios dominios de Windows que comparten un esquema, una configuracin y un catlogo global comunes, y que estn vinculados con relaciones de confianza transitivas bidireccionales. Dominio raz del bosque: principio del espacio de nombres del Sistema de nombres de dominio (DNS, Domain Name System). En Active Directory, el dominio inicial en un rbol de Active Directory. Asimismo, el dominio inicial de un bosque.
Servidor de catlogo global: base de datos de directorio en la que aplicaciones y clientes pueden realizar consultas para buscar cualquier objeto en un bosque. El catlogo global est hospedado en uno o varios controladores de dominio en el bosque y contiene una replicacin parcial de cada particin del directorio del dominio en el bosque. Entre estas replicaciones parciales se incluyen replicaciones de cada objeto del bosque, de la siguiente manera: Los atributos ms usados en operaciones de bsqueda. Los atributos necesarios para buscar una replicacin completa del objeto.
Grupos globales: grupo de seguridad o distribucin que puede contener como miembros a usuarios, grupos y equipos de su propio dominio. Los grupos de seguridad globales pueden tener derechos y permisos relativos a recursos en cualquier dominio del bosque al que correspondan. Esquema: conjunto de definiciones para el universo de objetos que se puede almacenar en un directorio. Para cada clase de objeto, el esquema define qu atributos debe tener una instancia de la clase y qu atributos adicionales puede tener, as como qu otras clases de objeto pueden ser su clase de objeto primaria. Grupo universal: grupo de seguridad o distribucin que puede contener como miembros a usuarios, grupos y equipos de su propio dominio. Los grupos de seguridad universales pueden tener derechos y permisos relativos a recursos en cualquier dominio del bosque al que correspondan.
Requisitos de infraestructura
Antes de preparar Active Directory para Office Communications Server 2007, asegrese de que la infraestructura de Active Directory cumple estos requisitos previos: Los controladores de dominio ejecutan Microsoft Windows 2000 Server SP4 (Service Pack 4), Service Pack 1 de Microsoft Windows Server 2003, Windows Server 2003 R2 o sistemas operativos posteriores. (Se recomienda Windows Server 2003 R2). Los servidores de catlogo global ejecutan Windows 2000 Server SP4, Windows Server 2003 SP1 o Windows Server 2003 R2 o posterior. (Se recomienda Windows Server 2003 R2).
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 9
Todos los dominios en los que implementa Office Communications Server usan en modo nativo Windows 2000 Server o un sistema operativo posterior. No puede implementar Office Communications Server en un dominio de modo mixto. Office Communications Server 2007 es compatible con grupos universales en modo nativo en los sistemas operativos Microsoft Windows Server 2003 y Windows 2000 Server. Los miembros de grupos universales pueden incluir otros grupos y cuentas de cualquier dominio en el rbol de dominio o bosque y se les pueden asignar permisos en cualquier dominio en el rbol de dominio o bosque. La compatibilidad de grupo universal, combinada con la delegacin de administrador, simplifica la administracin de una implementacin de Office Communications Server 2007. Por ejemplo, ya no es necesario agregar un dominio a otro para permitir a un administrador administrar ambos. Al eliminar el requisito de agregar dominios, tambin se simplifica la implementacin.
Nota
Para cambiar su dominio para ejecutar en modo nativo Windows 2000 o posterior, consulte http://r.office.microsoft.com/r/rlidOCS? clid=1033&p1=revdomain.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 11
Si elige almacenar la configuracin global en el contenedor System en el dominio raz (opcin recomendada), se agrega un nuevo contenedor Microsoft bajo System del dominio raz y se agrega un nuevo objeto RTC Service bajo el objeto System\Microsoft. Si elige almacenar la configuracin global en el contenedor Configuration del dominio raz, se usa el contenedor Services existente, pero se agrega un nuevo objeto RTC Service bajo el objeto Configuration\Services.
Agrega un objeto Global Settings de tipo msRTCSIP-GlobalContainer bajo el objeto RTC Service. El objeto Global Settings contiene toda la configuracin que se aplica en toda la implementacin de Office Communications Server 2007. Agrega un nuevo objeto msRTCSIP-Domain para el dominio raz en el que se ejecuta el paso Preparar el bosque. El dominio se puede especificar tanto en implementacin de la lnea de comandos como de GUI.
Grupos de administracin:
Grupos de infraestructuras:
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 13
RTCUniversalUserReadOnlyGroup concede acceso de solo lectura a la configuracin de usuario de Office Communications Server. RTCUniversalUserReadOnlyGroup concede acceso de solo lectura a la configuracin de Office Communications Server. Este grupo no tiene acceso a la configuracin de nivel de grupo de servidores sino nicamente a la configuracin especfica de un servidor individual. RTCUniversalServerAdmins se agrega a RTCUniversalGlobalReadOnlyGroup, RTCUniversalGlobalWriteGroup, RTCUniversalServerReadOnlyGroup y RTCUniversalUserReadOnlyGroup. RTCUniversalUserAdmins se agrega como miembro de RTCUniversalGlobalReadOnlyGroup, RTCUniversalServerReadOnlyGroup y RTCUniversalUserReadOnlyGroup. RTCHSUniversalServices, RTCComponentUniversalServices y RTCUniversalReadOnlyAdmins se agregan como miembros de RTCUniversalGlobalReadOnlyGroup, RTCUniversalServerReadOnlyGroup y RTCUniversalUserReadOnlyGroup.
En el paso Preparar el bosque se crean entradas de control de acceso privadas en el contenedor de la configuracin global que usa Office Communications Server 2007. Este contenedor nicamente lo usa Office Communications Server y est ubicado en el contenedor System del dominio raz o en el contenedor Configuration, dependiendo de las opciones que especifique. Las entradas de control de acceso pblicas que se crean en el paso Preparar el bosque se enumeran en la tabla siguiente: Tabla 1. Entradas de control de acceso que se agregan en el paso Preparar el bosque
RTCUniversalGlobalReadOnlyGroup
* Las entradas de control de acceso que no se heredan no permiten el acceso a los objetos secundarios de estos contenedores. Las entradas de control de acceso que se heredan permiten el acceso a los objetos secundarios de estos contenedores.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 15
En el paso Preparar el bosque se realizan las siguientes tareas en el contenedor Configuration bajo el contexto de nomenclatura de configuracin. Se agrega una entrada {AB255F23-2DBD-4bb6-891D-38754AC280EF} para la pgina RTC property bajo los atributos adminContextMenu y adminPropertyPages del especificador de presentacin de idioma correspondiente a objetos User, Contact e InetOrgPerson (por ejemplo, CN=user-Display, CN=409, CN=DisplaySpecifiers). Se agrega un objeto RTCPropertySet de tipo controlAccessRight bajo ExtendedRights que se aplica a las clases User y Contact. Se agrega un objeto RTCUserSearchPropertySet de tipo controlAccessRight bajo Extended-Rights que se aplica a las clases User, Contact, OU y DomainDNS. Se agrega msRTCSIP-PrimaryUserAddress bajo el atributo extraColumns de cada especificador de presentacin de unidad organizativa de idioma (por ejemplo, CN=organizationalUnit-Display,CN=409,CN=DisplaySpecifiers) y se copian los valores del atributo extraColumns de la presentacin predeterminada (por ejemplo, CN=default-Display, CN=409,CN=DisplaySpecifiers). Agrega los atributos de filtro msRTCSIP-PrimaryUserAddress, msRTCSIPPrimaryHomeServer y msRTCSIP-UserEnabled bajo el atributo attributeDisplayNames de cada especificador de presentacin de idioma correspondiente a objetos User, Contact e InetOrgPerson (por ejemplo, en ingls: CN=user-Display,CN=409,CN=DisplaySpecifiers).
Read Container (no se hereda) Read User PropertySet User-AccountRestrictions Read User PropertySet PersonalInformation Read User PropertySet GeneralInformation Read User PropertySet Public-Information Read User PropertySet RTCUserSearchPro perty-Set Read User PropertySet RTCPropertySet Write User Property Proxy-Addresses Write User PropertySet RTCUserSearchPro perty-Set Write User PropertySet RTCPropertySet Read PropertySet DS-Replication-Get-
X X
X X
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 17 RTCUnivers alUserrRead Only-Group RTCUnivers alServerRead Only-Group RTCUnive rsalUserAdmi ns RTCHSUnive rsalServices Authenticated Users
Tabla 3. Entradas de control de acceso que se agregan a los contenedores Users, Computers y Domain Controller
RTCUniversalUserReadOnl yGroup RTCUniversalServerReadOnlyGr oup
Si su organizacin est usando contenedores personalizados en lugar de los tres contenedores integrados, el grupo Usuarios autenticados debe tener acceso de lectura a los contenedores personalizados. Si el grupo Usuarios autenticados no tiene acceso de lectura al contenedor personalizado, use LcsCmd.exe para ejecutar el comando CreateLcsOUPermissions para conceder permisos de lectura en cualquier contenedor personalizado. Ejecute un comando similar al siguiente para cada contenedor personalizado:
lcscmd /Domain:<Domain FQDN> /Action:CreateLcsOuPermissions /OU:<nombre distintivo> /ObjectType:<User | Contact | InetOrgPerson | Computer>
Donde /OU (unidad organizativa) especifica el nombre distintivo de la unidad organizativa, excepto la parte de raz de dominio del nombre distintivo.
Nota
Si la herencia de los permisos est deshabilitada o los permisos del usuario autenticado se deben deshabilitar en su organizacin, hay pasos adicionales que debe realizar durante el paso Preparar el dominio. Consulte la seccin Apndice A: cmo preparar Active Directory bloqueado, ms adelante en esta gua.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 19
Debe ejecutar los pasos de preparacin de Active Directory en un equipo que ejecuta Windows Server 2003 SP1 o posterior, Windows Server 2003 R2 o posterior. No puede ejecutar los pasos de preparacin de Active Directory desde Windows 2000 Server y versiones anteriores o cualquier versin cliente del sistema operativo Windows. La tabla 4 muestra las credenciales administrativas necesarias para cada tarea. Tabla 4. Credenciales administrativas necesarias para la preparacin de Active Directory
Procedimiento Preparar el esquema Preparar el bosque Preparar el dominio Funciones o credenciales administrativas necesarias Administrador de esquema y administrador local en el maestro de esquema Administrador de organizacin o administrador de dominio del dominio raz del bosque Administrador de organizacin o administrador de dominio
Mtodos de implementacin
Puede implementar Office Communications Server 2007 mediante uno de los siguientes dos mtodos: La herramienta de implementacin, Setup.exe, que se incluye en el CD. La herramienta de implementacin ofrece un conjunto de asistentes que le guan en cada una de las tareas de implementacin. La herramienta de lnea de comandos, LcsCmd.exe, que se incluye en el CD.
Nota
Preparar el esquema debe tener acceso al maestro de esquema, para lo que es necesario que se est ejecutando el servicio de Registro remoto y que est habilitada la clave de Registro remoto. Si el servicio de registro remoto no se puede habilitar en el maestro de esquema, puede ejecutar la preparacin de esquema de forma local en el maestro de esquema. Para obtener ms informacin acerca del acceso remoto al Registro, consulte el artculo 314837 de Microsoft Knowledge Base, How to Manage Remote Access to the Registry (Cmo administrar el acceso remoto al Registro), en http://r.office.microsoft.com/r/rlidOCS? clid=1033&p1=kb314837.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 21
Para Enterprise Edition, haga clic en Implementar el grupo de servidores Enterprise en una topologa consolidada o en Implementar grupo de servidores Enterprise en una topologa expandida.
4. Haga clic en Preparar Active Directory. 5. En Preparar el esquema, haga clic en Ejecutar. 6. En la pgina Asistente para preparar el esquema, haga clic en Siguiente. 7. Siga uno de estos procedimientos: Haga clic en Opcin predeterminada: los archivos de esquema se encuentran en el mismo directorio que el programa de instalacin Haga clic en Examinar y vaya al directorio donde estn ubicados los archivos de esquema.
8. Haga clic en Siguiente. 9. En la pgina Listo para preparar el esquema, revise la configuracin actual antes de hacer clic en Siguiente. 10. En la pgina El Asistente para preparar el esquema se ha completado, haga clic en Ver registro. En la columna Accin, expanda Preparar el esquema. Busque Resultado de ejecucin <Correcto> al final de cada tarea a fin de comprobar que el paso Preparar el esquema se ha completado correctamente. Cierre el registro cuando haya terminado. 11. Haga clic en Finalizar. Espere a que finalice la replicacin de Active Directory o furcela en todos los controladores de dominio que se enumeran en el complemento Sitios y servicios de Active Directory para el controlador del dominio raz del bosque antes de continuar con el paso Preparar el bosque.
Para comprobar manualmente que el paso Preparar el esquema se ha realizado correctamente y que los cambios del esquema se han replicado en los dominios secundarios
1. Inicie una sesin en el controlador de dominio principal como usuario con credenciales de administrador de organizacin. 2. Haga clic en Inicio, en Ejecutar y en Examinar, localice Ldp.exe y seleccinelo, haga clic en Abrir y, a continuacin, haga clic en Aceptar.
Nota
El archivo Ldp.exe es una de las diversas herramientas de lnea de comandos adicionales que se pueden usar para configurar, administrar y depurar Active Directory. Estas herramientas se conocen colectivamente como Herramientas de soporte y estn disponibles en el CD del sistema operativo Windows 2000 Server o Windows Server 2003 en la carpeta \SUPPORT\TOOLS. El archivo se extrae del archivo Support.cab.
3. En el men Conexin, haga clic en Conectar y, a continuacin, haga clic en Aceptar. 4. En el men Conexin, haga clic en Enlazar y, a continuacin, en Aceptar. De este modo, se usarn las credenciales predeterminadas de administrador de organizacin.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 23
5. En el men Ver, haga clic en rbol y, a continuacin, haga clic en Aceptar. 6. En el rbol de la consola, haga clic en DC=nombre de dominio, haga doble clic en CN=Configuration, DC=nombre de dominio y, a continuacin, haga doble clic en CN=Schema, CN=Configuration, DC=nombre de dominio. 7. En el contenedor de esquema, busque CN=ms-RTC-SIP-SchemaVersion. Si este objeto existe y el valor del atributo rangeUpper es 1007, entonces el esquema se ha propagado correctamente. Si este objeto no existe o el valor del atributo rangeUpper no es 1007, el esquema no se ha modificado.
Importante
Si la replicacin de Active Directory no ha terminado de replicar los cambios realizados en el paso Preparar el esquema, aparecer un mensaje de error. Espere a que se realice la replicacin o furcela.
3. Haga clic en Preparar Active Directory. 4. En Preparar el bosque, haga clic en Ejecutar. 5. En la pgina Asistente para preparar el bosque, haga clic en Siguiente.
6. En la pgina Seleccione la ubicacin para la configuracin global del almacn, seleccione donde desea almacenar la configuracin global para la implementacin de Office Communications Server. Elija una de las opciones siguientes: Para almacenar la configuracin en la particin de dominio del dominio raz, haga clic en Contenedor del sistema en dominio raz (recomendado). Para almacenar la configuracin en la particin de configuracin del dominio raz, haga clic en Particin de configuracin.
Nota
Si la conectividad al dominio raz no es segura, seleccione Particin de configuracin ya que la activacin de las funciones de servidor requiere acceso al dominio raz (donde est almacenada la configuracin global). El acceso al dominio raz tambin es necesario para que el servidor funciones correctamente, a menos que seleccione Particin de configuracin.
7. En la pgina Ubicacin de los grupos universales, en Dominio, seleccione el dominio donde desea crear los grupos que usa Office Communications Server y, a continuacin, haga clic en Siguiente. 8. En la pgina Dominio SIP utilizado para el enrutamiento predeterminado, seleccione el dominio SIP que desea usar para el enrutamiento predeterminado. El dominio SIP predeterminado se usa para construir el URI de SIP, que en su forma ms simple es [ServerFQDN]@[DefaultSIPDomainFQDN]. En nuevas implementaciones, el dominio raz se propone siempre como el dominio SIP predeterminado. Para las implementaciones existentes, si no existe ningn dominio SIP predeterminado, todos los dominios SIP existentes aparecen como posibles opciones y el asistente selecciona de forma aleatoria un dominio como el dominio de enrutamiento predeterminado. Si un dominio SIP predeterminado ya existe, el asistente rellena la lista con todos los dominios SIP existentes y selecciona ese dominio SIP predeterminado. En todos los casos anteriores, puede escribir siempre en un nuevo dominio FQDN para el dominio SIP predeterminado o puede usar la lista para seleccionar otro dominio existente como el dominio SIP predeterminado. 9. En la pgina Listo para preparar el bosque, revise la configuracin actual antes de hacer clic en Siguiente. 10. En la pgina El Asistente para preparar el bosque se ha completado, haga clic en Ver registro. En la columna Accin, expanda Preparar el bosque. Busque Resultado de ejecucin <Correcto> al final de cada tarea a fin de comprobar que el paso Preparar el bosque ha finalizado correctamente. Cierre el registro cuando haya terminado. 11. Haga clic en Finalizar. Espere a que finalice la replicacin de Active Directory o furcela en todos los controladores de dominio que se enumeran en el complemento Sitios y servicios de Active Directory para el controlador del dominio raz del bosque antes de ejecutar el paso Preparar el dominio.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 25
Nota
Si la herencia de los permisos est deshabilitada o los permisos del usuario autenticado estn deshabilitados en su organizacin, hay pasos adicionales que debe realizar durante el paso Preparar el dominio. Para obtener ms informacin, consulte la seccin Apndice A: cmo preparar Active Directory bloqueado, al final de esta gua.
4. Haga clic en Preparar Active Directory. 5. En Preparar dominio actual, haga clic en Ejecutar. 6. En la pgina Asistente para preparar dominios, haga clic en Siguiente. 7. En Informacin de preparacin de dominio, revise la informacin y, a continuacin, haga clic en Siguiente. 8. En la pgina Listo para preparar el dominio, revise la configuracin actual antes de hacer clic en Siguiente. 9. En la pgina El Asistente para preparar dominios se ha completado, haga clic en Ver registro. En la columna Accin, expanda Preparar el dominio. Busque Resultado de ejecucin <Correcto> al final de cada tarea a fin de comprobar que el paso Preparar el dominio ha finalizado correctamente. Cierre la ventana de registro cuando haya terminado. 10. Haga clic en Finalizar. Espere a que finalice la replicacin de Active Directory o furcela en todos los controladores de dominio que se enumeran en el complemento Sitios y servicios de Active Directory para el controlador del dominio raz del bosque.
Nota
El comando SchemaPrep debe tener acceso al maestro de esquema, para lo que es necesario que se est ejecutando el servicio de Registro remoto y que est habilitada la clave de Registro remoto. Para obtener ms informacin acerca del acceso remoto al Registro, consulte el artculo 314837 de Microsoft Knowledge Base, How to Manage Remote Access to the Registry (Cmo administrar el acceso remoto al Registro), en http://support.microsoft.com/kb/314837/es.
Use el siguiente procedimiento para ejecutar el paso Preparar el esquema desde la lnea de comandos.
Por ejemplo:
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 27 LcsCmd.exe /forest /action:SchemaPrep
3. Use el siguiente comando para comprobar que el paso Preparar el esquema se ha completado correctamente:
LcsCmd.exe /forest /action:CheckSchemaPrepState
Por ejemplo:
LcsCmd.exe /forest /action:CheckSchemaPrepState
Nota
Espere a que se realice la replicacin antes de continuar con el paso Preparar el bosque. Puede permitir el tiempo de replicacin predeterminado de Windows o puede forzar la replicacin.
Para comprobar manualmente que el paso Preparar el esquema se ha realizado correctamente y que los cambios del esquema se han replicado en los dominios secundarios
1. Inicie una sesin en el controlador de dominio principal como usuario con credenciales de administrador de organizacin. 2. Haga clic en Inicio, en Ejecutar y en Examinar, busque Ldp.exe y seleccinelo, haga clic en Abrir y, a continuacin, haga clic en Aceptar.
Nota
El archivo Ldp.exe es una de las diversas herramientas de lnea de comandos adicionales que se pueden usar para configurar, administrar y depurar Active Directory. Estas herramientas se conocen colectivamente como Herramientas de soporte y estn disponibles en el CD del sistema operativo Windows 2000 Server o Windows Server 2003 en la carpeta \SUPPORT\TOOLS. El archivo se extrae del archivo Support.cab.
3. En el men Conexin, haga clic en Conectar y, a continuacin, haga clic en Aceptar. 4. En el men Conexin, haga clic en Enlazar y, a continuacin, en Aceptar. De este modo, se usarn las credenciales predeterminadas de administrador de organizacin. 5. En el men Ver, haga clic en rbol y, a continuacin, haga clic en Aceptar. 6. En el rbol de la consola, haga clic en DC=nombre de dominio, haga doble clic en CN=Configuration, DC=nombre de dominio y, a continuacin, haga doble clic en CN=Schema, CN=Configuration, DC=nombre de dominio. 7. En el contenedor de esquema, busque CN=ms-RTC-SIP-SchemaVersion. Si este objeto existe y el valor del atributo rangeUpper es 1007, entonces el esquema se ha propagado correctamente. Si este objeto no existe o el valor del atributo rangeUpper no es 1007, el esquema no se ha modificado.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 29
Donde /global especifica donde desea crear la configuracin global. Si no especifica el parmetro /groupdomain, este valor tiene como valor predeterminado el dominio local.
Nota
Si la conectividad al dominio raz no es segura, seleccione Particin de configuracin ya que la activacin de las funciones de servidor requiere acceso al dominio raz (donde est almacenada la configuracin global). El acceso al dominio raz tambin es necesario para que el servidor funciones correctamente, a menos que seleccione Particin de configuracin.
Por ejemplo:
LcsCmd.exe /forest /action:ForestPrep /global:system
1. Inicie una sesin en un servidor con credenciales de administrador de dominio en el dominio donde desea implementar Office Communications Server 2007. 2. Ejecute:
LcsCmd.exe /domain[:<DomainFQDN>] /action:DomainPrep
Por ejemplo, si corp.woodgrovebank.com es el dominio que va a preparar para Office Communications Server 2007, use el siguiente comando:
LcsCmd.exe /domain:corp.woodgrovebank.com /action:DomainPrep
Nota
El uso de /domain sin el valor del parmetro establece el dominio local de forma predeterminada.
4. Por ejemplo, si corp.woodgrovebank.com es el dominio del que desea comprobar que el comando DomainPrep se ha ejecutado correctamente, use el siguiente comando:
LcsCmd.exe /domain:corp.woodgrovebank.com /action:CheckDomainPrepState
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 31
Delegar la administracin de usuarios de slo lectura Delegar la administracin de servidores de slo lectura
Importante
Debe especificar un grupo global o universal ya existente cuando delegue la configuracin o la administracin. No puede usar un grupo local y este grupo debe existir.
Nota
Aunque el proceso descrito en esta seccin delega permisos de configuracin, cualquier usuario del grupo de confianza tambin debe ser miembro del grupo de Administradores locales en un equipo para instalar y activar Office Communications Server en dicho equipo. Para los casos de instalacin y activacin de Enterprise Edition, el grupo de confianza debe ser tambin miembro del grupo de Administradores locales en el equipo que ejecuta la base de datos back-end de SQL Server.
Para Enterprise Edition, haga clic en Implementar el grupo de servidores Enterprise en una topologa consolidada o en Implementar grupo de servidores Enterprise en una topologa expandida.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 33
4. Haga clic en Preparar Active Directory. 5. Haga clic en Delegar la configuracin y administracin. 6. En Delegar tareas de configuracin, haga clic en Ejecutar. 7. En la pgina de bienvenida, haga clic en Siguiente. 8. En la pgina Autorizar al grupo, en Seleccionar dominio de confianza, especifique el dominio que contiene el grupo al que desea delegar permisos. 9. En Nombre del grupo existente, escriba el nombre del grupo al que desea delegar permisos y, a continuacin, haga clic en Siguiente. Este grupo debe ser un grupo universal o un grupo local. No puede ser un grupo local de dominio. 10. En la pgina Ubicacin de los objetos del equipo para la implementacin, escriba el nombre distintivo (DN) de la unidad organizativa o contenedor que hospeda los objetos del equipo en que se implementar Office Communications Server.
Nota
Puede utilizar la herramienta ADSIEdit para desplazarse hasta las propiedades del grupo y copiar y, a continuacin, pegar el nombre distintivo (DN) del grupo en el asistente.
11. En la pgina Cuenta de servicio, escriba la cuenta de servicio SIP y la cuenta de servicio de componentes que va a usar Office Communications Server. 12. En la pgina Listo para configurar la delegacin, revise la configuracin y, a continuacin, haga clic en Siguiente. 13. Una vez completado el asistente, haga clic en Finalizar. 14. Agregue el nuevo grupo de confianza al grupo de Administradores locales de cada servidor donde desea instalar Office Communications Server y el servidor de base de datos back-end de los grupos de servidores Enterprise. 15. Si se han quitado, en su organizacin, los permisos del grupo de seguridad de usuarios autenticados de Active Directory, debe agregar el nuevo grupo de confianza para tareas de configuracin a RTCUniversalServerAdmins o conceder manualmente permisos de lectura al grupo de confianza a los siguientes contenedores de la raz del bosque: Dominio raz del bosque Dominio raz del bosque del contenedor System Raz del dominio donde se delegan los permisos Contenedores principales de objetos del equipo y objetos de la cuenta de servicio
16. Desde un smbolo del sistema, escriba whoami.exe /todos para comprobar que el usuario tiene los permisos adecuados. El resultado debera ser similar a lo siguiente:
Everyone BUILTIN\Administrators BUILTIN\Users 32-545 NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 NT AUTHORITY\Authenticated Users NT AUTHORITY\This Organization group S-1-5-15 LOCAL FABRIKAM\RTCUniversalUserReadOnlyGroup Group FABRIKAM\RTCUniversalGlobalWriteGroup Group FABRIKAM\RTCUniversalGlobalReadOnlyGroup FABRIKAM\RTCUniversalServerReadOnlyGroup FABRIKAM\delegatedLSSetup Group FABRIKAM\RTCUniversalServerAdmins Group FABRIKAM\CERTSVC_DCOM_ACCESS Alias Well-known group S-1-1-0 Alias S-1-5-32-544 Alias S-1-5-
Dnde: TrusteeGroup es el grupo al que est concediendo los permisos. TrusteeDomain es el dominio en el que reside el grupo de administradores de confianza. ServiceAccount es el nombre de cuenta de servicio RTC. ComponentServiceAccount es el nombre de cuenta de servicio de componente RTC. ComputerOU especifica el nombre distintivo (DN) de la unidad organizativa que contiene los equipos en los que el grupo de confianza puede ejecutar las tareas de configuracin de Office Communications Server.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 35
3. Agregue el nuevo grupo de confianza al grupo de Administradores locales de cada equipo donde desea instalar Office Communications Server y el equipo que ejecuta el servidor de base de datos back-end de SQL Server de los grupos de servidores Enterprise. 4. Si se han quitado, en su organizacin, los permisos del grupo de seguridad de usuarios autenticados de Active Directory, debe agregar el nuevo grupo de confianza para tareas de configuracin a RTCUniversalServerAdmins o conceder manualmente permisos de lectura al grupo de confianza a los siguientes contenedores de la raz del bosque: Dominio raz del bosque Dominio raz del bosque del contenedor System Raz del dominio donde se delegan los permisos Contenedores principales de objetos del equipo y objetos de la cuenta de servicio
5. Desde un smbolo del sistema, escriba whoami.exe /todos para comprobar que el usuario tiene los permisos adecuados. El resultado debera ser similar a lo siguiente:
Everyone BUILTIN\Administrators BUILTIN\Users 32-545 NT AUTHORITY\INTERACTIVE group S-1-5-4 NT AUTHORITY\Authenticated Users NT AUTHORITY\This Organization group S-1-5-15 LOCAL FABRIKAM\RTCUniversalUserReadOnlyGroup Group FABRIKAM\RTCUniversalGlobalWriteGroup Group FABRIKAM\RTCUniversalGlobalReadOnlyGroup FABRIKAM\RTCUniversalServerReadOnlyGroup FABRIKAM\delegatedLSSetup Group FABRIKAM\RTCUniversalServerAdmins Group FABRIKAM\CERTSVC_DCOM_ACCESS Alias Well-known group S-1-1-0 Alias S-1-5-32-544 Alias S-1-5Well-known Well-known group S-1-5-11 Well-known Well-known group S-1-2-0 S-1-5-21-4264192570S-1-5-21-4264192570S-1-5-21-4264192570S-1-5-21-4264192570S-1-5-21-4264192570S-1-5-21-4264192570S-1-5-21-4264192570-
servidores le permite conceder a un usuario o grupo el subconjunto de permisos requeridos para administrar un servidor Office Communications Server especfico.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 37
Al delegar la administracin del servidor, se conceden los siguientes permisos: Permiso de lectura y escritura a la configuracin global Permiso de lectura y escritura a un contenedor de unidad organizativa de equipo Permiso de lectura opcional a un contenedor de unidad organizativa de usuario
Importante
Debe especificar el grupo global o universal existente al que desea delegar los permisos. No puede utilizar un grupo local.
Dnde: TrusteeGroup es el grupo al que est concediendo los permisos. TrusteeDomain es el dominio en el que reside el grupo de administradores de confianza. ServiceAccount es el nombre de cuenta de servicio RTC. ComponentServiceAccount es el nombre de cuenta de servicio de componente RTC. ComputerOU especifica el nombre distintivo (DN) de la unidad organizativa que contiene el equipo que ejecuta el servidor al que est concediendo los permisos administrativos. PoolName especifica el nombre del servidor Standard Edition o del grupo de servidores Enterprise en el que el grupo de confianza puede administrar servidores; agrega el grupo de confianza al grupo de Administradores locales de cada equipo del grupo de servidores a la funcin AdminRole de la base de datos RTC y a la funcin ReadWriteRole de la base de datos RTCConfig en el servidor de base de datos back-end de SQL Server. ExtraServers especifica una lista separadas por comas de los FQDN de los equipos que no forman parte de un grupo de servidores para los que el grupo de confianza requiere acceso. Puede escribir el FQDN de Servidores de archivado y CDR, Servidores de mediacin o el FQDN interno de servidores perimetrales.
Dnde: TrusteeGroup es el grupo al que est concediendo los permisos. TrusteeDomain es el dominio en el que est concediendo los permisos. ServiceAccount es el nombre de cuenta de servicio RTC.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 39
ComponentServiceAccount es el nombre de cuenta de servicio de componente RTC. ComputerOU especifica el nombre distintivo (DN) de la unidad organizativa que contiene el servidor cliente de Office Communications Server que hospeda a los usuarios que administrar el grupo de confianza. UserOU especifica el nombre distintivo (DN) de la unidad organizativa que contiene los usuarios que administrar el grupo de confianza. UserType especifica el tipo de objeto de usuario para los que tendr permisos de administracin el grupo de confianza. Los valores vlidos son User, Contact o InetOrgPerson. PoolName especifica el nombre del servidor Standard Edition o del grupo de servidores Enterprise en el que el grupo de confianza puede administrar usuarios y agrega el grupo de confianza al grupo de Administradores locales de cada equipo del grupo de servidores y a la funcin ReadOnlyRole de las bases de datos back-end de SQL Server.
Dnde: TrusteeGroup es el grupo al que est concediendo los permisos. TrusteeDomain es el dominio en el que est concediendo los permisos. ServiceAccount es el nombre de cuenta de servicio RTC. ComponentServiceAccount es el nombre de cuenta de servicio de componente RTC. ComputerOU especifica el nombre distintivo (DN) de la unidad organizativa que contiene el equipo que ejecuta el servidor al que est concediendo los permisos administrativos de solo lectura del grupo de confianza. PoolName especifica el nombre del servidor Standard Edition o del grupo de servidores Enterprise en el que el grupo de confianza puede realizar administracin de servidor de solo lectura y agrega el grupo de confianza al grupo de Administradores locales de cada equipo del grupo de servidores y a la funcin ReadOnlyRole de las bases de datos back-end de SQL Server. ExtraServers especifica una lista separadas por comas de los FQDN de los equipos a los que el grupo requiere el acceso pero que no forman parte del grupo de servidores. Puede escribir el FQDN de Servidores de archivado y CDR, Servidores de mediacin o el FQDN interno de servidores perimetrales.
Nota
Si se usa el parmetro /PoolName con LcsCmd no se delegan permisos a los equipos que sirven a cualquiera de las siguientes funciones de Office Communications Server: Servidor de mediacin, Servidor de archivado y CDR, Servidor perimetral de acceso o Communicator Web Access Server. Para delegar el permiso de administracin de servidor de slo lectura en estos equipos, debe agregar manualmente el grupo de administradores de confianza al grupo RTC Local Read-Only Administrators.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 41
Dnde: TrusteeGroup es el grupo al que est concediendo los permisos. TrusteeDomain es el dominio en el que est concediendo los permisos. ServiceAccount es el nombre de cuenta de servicio RTC. ComponentServiceAccount es el nombre de cuenta de servicio de componente RTC. ComputerOU especifica el nombre distintivo (DN) de la unidad organizativa que contiene el servidor cliente de Office Communications Server que hospeda a los usuarios que administrar el grupo de confianza. UserOU especifica el nombre distintivo (DN) de la unidad organizativa que contiene los usuarios que podr ver el grupo de confianza. Si especifica este parmetro, tambin deber especificar el parmetro UserType. UserType especifica el tipo de objeto de usuario en el que crear, comprobar o quitar las delegaciones. Los valores vlidos son User, Contact o InetOrgPerson. PoolName especifica el nombre del servidor Standard Edition o del grupo de servidores Enterprise que hospeda a los usuarios que podr ver el grupo de confianza y agrega el grupo de confianza al grupo de Administradores locales de cada equipo del grupo de servidores y a la funcin ReadOnlyRole de las bases de datos back-end de SQL Server.
msRTCSIP-Archive (nueva)
Esta nueva clase auxiliar de msRTCSIP-GlobalContainer contiene toda la configuracin relacionada con el archivado.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 43
msRTCSIP-ArchivingServer
Esta clase representa un nico servidor de archivado de mensajera instantnea. Cuando un equipo se activa como servidor de archivado de mensajera instantnea (por ejemplo, un equipo que tiene instalado el Servicio de archivado de mensajera instantnea), se crea una instancia de esta clase.
msRTCSIP-Domain
Esta clase tiene atributos que definen los dominios configurados del registro SIP.
msRTCSIP-EdgeProxy
Este contenedor de clases representa un nico servidor perimetral de acceso. Dado que un servidor perimetral de acceso se implementa en la red perimetral y los clientes normalmente no permiten el acceso de Active Directory desde la red perimetral, los servidores perimetrales de acceso no participan de la red de Active Directory de la intranet. En consecuencia, los servidores proxy de acceso no se registran automticamente en Active Directory. El administrador debe configurar manualmente la existencia de cada uno de los servidores perimetrales de acceso en Active Directory.
msRTCSIP-EnterpriseMCUSettings (nueva)
Esta clase auxiliar de msRTCSIP-MCU contiene los atributos que representan la configuracin de los servidores de conferencia.
msRTCSIP-EnterpriseMediationServerSettings (nueva)
Esta clase auxiliar de msRTCSIP-MediationServer contiene los atributos que representan la configuracin de los servidores de mediacin.
msRTCSIP-EnterpriseServerSettings
Esta clase auxiliar de msRTCSIP-Server contiene los atributos que representan la configuracin de los servidores SIP.
msRTCSIP-Federation
Esta nueva clase auxiliar de msRTCSIP-GlobalContainer contiene toda la configuracin relacionada con la federacin.
msRTCSIP-GlobalContainer
Esta clase contiene toda la configuracin que se aplica en una implementacin de Office Communications Server.
msRTCSIP-GlobalUserPolicy (nueva)
Esta clase representa una nica directiva de reunin de Office Communications Server 2007.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 45
msRTCSIP-MCU (nueva)
Esta clase representa un nico servidor de conferencia.
msRTCSIP-MCUFactories (nueva)
Esta clase contiene varias clases msRTCSIP-MCUFactory y no tiene atributos propios.
msRTCSIP-MCUFactory (nueva)
Esta clase es un contenedor que representa una fbrica de MCU para un tipo medio nico. Se crea una instancia de esta clase cuando se activa el primer MCU para este tipo y proveedor.
msRTCSIP-MCUFactoryService (nueva)
Esta clase proporciona una asociacin de un grupo de servidores concreto a su fbrica de MCU.
msRTCSIP-MediationServer (nueva)
Esta clase contiene la entrada para el punto de conexin de servicio de un servidor de mediacin.
msRTCSIP-Meeting (nueva)
Esta clase auxiliar de msRTCSIP-GlobalContainer contiene atributos que representan la configuracin de reunin que se puede configurar.
msRTCSIP-Policies (nueva)
Esta clase contiene varias clases de directiva de Office Communications Server y no tiene ningn atributo propio.
msRTCSIP-Pool
Esta clase representa un nico grupo de servidores de Office Communications Server.
msRTCSIP-Pools
Esta clase contiene varios grupos de servidores Office Communications Server y no tiene ningn atributo propio.
msRTCSIP-PoolService
Esta clase representa el punto de conexin de servicio de un grupo de servidores. El atributo msRTCSIP-PrimaryHomeServer de los usuarios hospedados en un grupo de servidores seala a una instancia de esta clase.
msRTCSIP-Registrar
Esta clase auxiliar de msRTCSIP-GlobalContainer contiene los atributos que representan la configuracin de usuario que mantienen los servidores de registro SIP.
msRTCSIP-Search
Esta clase auxiliar de msRTCSIP-GlobalContainer contiene los atributos que limitan y controlan el alcance de los resultados de la bsqueda.
msRTCSIP-Server
Esta clase representa un nico servidor SIP.
msRTCSIP-Service
Esta clase contiene el contenedor de configuracin global y los objetos msRTCSIP-domain.
msRTCSIP-TrustedMCU (nueva)
Esta clase tiene atributos que identifican si un servidor de conferencia es un servidor es de confianza.
msRTCSIP-TrustedMCUs (nueva)
Esta clase contiene varias instancias de Office Communications Server de la clase msRTCSIP TrustedMCU y no tiene ningn atributo propio.
msRTCSIP-TrustedProxies (nueva)
Esta clase contiene varias clases msRTCSIP-TrustedProxy y no contiene ningn atributo propio.
msRTCSIP-TrustedProxy (nueva)
Esta clase es un contenedor que representa un servidor que ejecuta el servidor proxy. Se crea una instancia de esta clase al activar un nuevo servidor proxy en un equipo unido a Active Directory.
msRTCSIP-TrustedServer
Esta clase tiene atributos que identifican si el servidor es de confianza.
msRTCSIP-TrustedService (nueva)
Esta clase es un contenedor que representa un servidor de confianza que es enrutable mediante una direccin de GRUU. Se crea una instancia de esta clase al activar un nuevo servidor SIP en el que confa Office Communications Server. Este servidor de confianza debe participar de un dominio de Active Directory.
msRTCSIP-TrustedServices (nueva)
Esta clase es un contenedor para varios servidores URI de agentes de usuario enrutables globalmente (GRUU) y no contiene ningn atributo propio.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 47
msRTCSIP-TrustedWebComponentsServers (nueva)
Esta clase contiene varias instancias de Office Communications Server de la clase msRTCSIP-TrustedWebComponentServer y no tiene ningn atributo propio.
msRTCSIP-UnifiedCommunications (nueva)
Esta clase auxiliar de msRTCSIP-GlobalContainer contiene atributos relacionados con las comunicaciones unificadas.
msRTCSIP-WebComponents (nueva)
Esta clase contiene el punto de conexin de servicio para Internet Information Services (IIS).
msRTCSIP-WebComponentsService (nueva)
Esta clase proporciona una asociacin de un grupo de servidores concreto a los componentes web que el grupo de servidores usar.
msRTCSIP-WebComponentSettings (nueva)
Esta clase auxiliar de msRTCSIP-WebComponent contiene los atributos que representan la configuracin de los componentes web.
Usuario
msRTCSIP-PrimaryUserAddress msRTCSIP-HomeServer (obsoleto) msRTCSIP-HomeServerString (obsoleto) msRTCSIP-UserEnabled msRTCSIP-IsMaster (obsoleto) msRTCSIP-TargetHomeServer msRTCSIP-OriginatorSID msRTCSIP-PrimaryHomeServer
msRTCSIP-FederationEnabled (Live Communications Server 2005) msRTCSIP-InternetAccessEnabled (Live Communications Server 2005) msRTCSIP-ArchivingEnabled (Live Communications Server 2005) msRTCSIP-OptionFlags (Live Communications Server 2005 con SP1) msRTCSIP-Line (Live Communications Server 2005 con SP1) msRTCSIP-LineServer (Live Communications Server 2005 con SP1) msRTCSIP-UserPolicy (Office Communications Server 2007) msRTCSIP-UserExtension * (Live Communications Server 2005 con SP1) TelephoneNumber (Windows 2000) ProxyAddresses (Windows 2000)
Contacto
msRTCSIP-PrimaryUserAddress msRTCSIP-HomeServerString (obsoleto) msRTCSIP-UserEnabled msRTCSIP-OriginatorSID msRTCSIP-PrimaryHomeServer (Live Communications Server 2005) msRTCSIP-TargetHomeServer (Live Communications Server 2005) msRTCSIP-FederationEnabled (Live Communications Server 2005) msRTCSIP-InternetAccessEnabled (Live Communications Server 2005) msRTCSIP-ArchivingEnabled (Live Communications Server 2005) msRTCSIP-OptionFlags (Live Communications Server 2005 con SP1) msRTCSIP-Line (Live Communications Server 2005 con SP1) msRTCSIP-LineServer (Live Communications Server 2005 con SP1) msRTCSIP-UserPolicy (Office Communications Server 2007) msRTCSIP-UserExtension * (Live Communications Server 2005 con SP1) msRTCSIP-SourceObjectType (Office Communications Server 2007) msDS-SourceObjectDN (Office Communications Server 2007) TelephoneNumber (Windows 2000) PhoneOfficeOther (Windows 2000) ProxyAddresses (Windows 2000)
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 49
Equipos
serviceConnectionPoint
msRTCSIP-Server msRTCSIP-EnterpriseServerSettings msRTCSIP-EnterpriseServices msRTCSIP-HomeUsers (obsoleto) msRTCSIP-PoolAddress (Live Communications Server 2005) msRTCSIP-ServerVersion (Office Communications Server 2007) msRTCSIP-ServerData *
serviceConnectionPoint
msRTCSIP-MCU (Office Communications Server 2007) msRTCSIP-EnterpriseMCUSettings (Office Communications Server 2007) msRTCSIP-MCUFactoryAddress (Office Communications Server 2007) msRTCSIP-ServerVersion (Office Communications Server 2007) msRTCSIP-MCUData * (Office Communications Server 2007)
serviceConnectionPoint
msRTCSIP-WebComponents (Office Communications Server 2007) msRTCSIP-EnterpriseWebComponentsSettings (Office Communications Server 2007) msRTCSIP-WebComponentsPoolAddress (Office Communications Server 2007) msRTCSIP-ServerVersion (Office Communications Server 2007) msRTCSIP-WebComponentsData * (Office Communications Server 2007)
serviceConnectionPoint
msRTCSIP-MediationServer (Office Communications Server 2007) msRTCSIP-EnterpriseMediationServerSettings (Office Communications Server 2007) msRTCSIP-TrustedServiceLinks (UC) msRTCSIP-DefaultLocationProfileLink (UC) msRTCSIP-ServerVersion (UC) msRTCSIP-ExtensionData * (UC)
msRTCSIP-Service
msRTCSIP-GlobalContainer
msRTCSIP-Registrar msRTCSIP-Search msRTCSIP-Federation msRTCSIP-Registrar msRTCSIP-MinRegistrationTimeout msRTCSIP-DefRegistrationTimeout msRTCSIP-MaxRegistrationTimeout msRTCSIP-MinPresenceSubscriptionTimeout msRTCSIP-DefPresenceSubscriptionTimeout msRTCSIP-MaxPresenceSubscriptionTimeout msRTCSIP-MinRoamingDataSubscriptionTimeout msRTCSIP-DefRoamingDataSubscriptionTimeout msRTCSIP-MaxRoamingDataSubscriptionTimeout msRTCSIP-SubscriptionAuthRequired (obsoleto) msRTCSIP-NumDevicesPerUser msRTCSIP-MaxNumSubscriptionsPerUser msRTCSIP-EnableBestEffortNotify (Live Communications Server 2005) msRTCSIP-UserDomainList (Live Communications Server 2005) msRTCSIP-GlobalSettingsData * msRTCSIP-Search msRTCSIP-SearchMaxResults msRTCSIP-SearchMaxRequests msRTCSIP-MaxNumOutstandingSearchPerServer msRTCSIP-Federation (Live Communications Server 2005) msRTCSIP-DefaultRouteToEdgeProxy (Live Communications Server 2005) msRTCSIP-DefaultRouteToEdgeProxyPort (Live Communications Server 2005) msRTCSIP-EnableFederation (Live Communications Server 2005)
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 51
msRTCSIP-Archive (Live Communications Server 2005) msRTCSIP-ArchiveDefault (Live Communications Server 2005) (obsoleto en Office Communications Server 2007) msRTCSIP-ArchiveDefaultFlags (Live Communications Server 2005) msRTCSIP-ArchiveFederationDefault (Live Communications Server 2005) (obsoleto en Office Communications Server 2007) msRTCSIP-ArchiveFederationDefaultFlags (Live Communications Server 2005) (obsoleto en Office Communications Server 2007) msRTCSIP-Meeting (Office Communications Server 2007) msRTCSIP-MeetingFlags (Office Communications Server 2007) msRTCSIP-MeetingPolicy (Office Communications Server 2007) msRTCSIP-UnifiedCommunications (Office Communications Server 2007) msRTCSIP-UCFlags (UC) msRTCSIP-UCPolicy (UC) msRTCSIP-Domain msRTCSIP-DomainName msRTCSIP-WMIInstanceId (obsoleto) msRTCSIP-Default (Office Communications Server 2007) msRTCSIP-DomainData * msRTCSIP-TrustedServer msRTCSIP-TrustedServerFQDN msRTCSIP-IsMaster (obsoleto) msRTCSIP-TrustedServerVersion (Live Communications Server 2005) msRTCSIP-TrustedServerData * msRTCSIP-EdgeProxy (Live Communications Server 2005) msRTCSIP-EdgeProxyFQDN (Live Communications Server 2005) msRTCSIP-EdgeProxyData * (Live Communications Server 2005) msRTCSIP-ArchivingServer (Live Communications Server 2005) dnsHostName (Live Communications Server 2005) msRTCSIP-ArchivingServerVersion (Office Communications Server 2007) msRTCSIP-ArchivingServerData *
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 53
msRTCSIP-TrustedServerVersion (Live Communications Server 2005) msRTCSIP-ServerBL (Office Communications Server 2007) msRTCSIP-ExtensionData* (Office Communications Server 2007)
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 55
dnsHostName
Atributo de Active Directory que ahora est asociado a las clases nuevas msRTCSIP-Archive y msRTCSIP-Pool. Este atributo especifica el FQDN de un grupo de servidores tal como est registrado en DNS. Un valor vlido para cada segmento es 63 caracteres; un valor vlido para el FQDN completo es 255 caracteres.
msRTCSIP-ArchiveDefaultFlags
Este atributo especifica el valor predeterminado global dentro del lmite del bosque para archivar todas las comunicaciones de los usuarios. Lo aplica la capa del Agente de archivado. El intervalo de valores de este atributo es el siguiente: TRUE: Se archivan todos los usuarios FALSE: No se archivan todos los usuarios
Este atributo controla, dentro del lmite del bosque y de manera global, cmo se archivan las comunicaciones de los usuarios en una red interna. Comportamiento de Live Communications Server 2005 (ahora retirado) El intervalo de valores de este atributo es el siguiente:
0: 1:
Se archiva el cuerpo del mensaje [bit 0] No se archiva el cuerpo del mensaje [bit 0]
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 57
Comportamiento de Office Communications Server 2007 El intervalo de valores de este atributo es el siguiente: 0: ArchiveFederationDefaultWithoutBody (retirado) 1-2: ArchiveInternalCommunications 3-4: ArchiveFederatedCommunications 5: 6: 7: 8: 9: 10: 11: 12: 13: 14: 15: 16: RecordPresenceRegistrations RecordIMCallDetails RecordGroupIMCallDetails RecordFileTransferInstances RecordAudioCallDetails RecordVideoCallDetails RecordRemoteAssistanceCallDetails RecordApplicationSharingDetails RecordMeetingInstantiations RecordMeetingJoins RecordDataJoins RecordAVJoins
msRTCSIP-ArchivingEnabled
Este atributo controla si deben archivarse las comunicaciones de un usuario. Lo aplica la capa del Agente de archivado. Se marca para la replicacin del catlogo global. Este atributo es un entero que se usa como un campo de bits para controlar si se archivan las comunicaciones del usuario. Este control lo aplica la capa del Agente de archivado. El mbito de este atributo es especfico de un usuario o contacto nicos. Los valores vlidos en Office Communications Server son los siguientes: 0-1: Se retira 2: 3: Se archivan las comunicaciones internas Se archivan las comunicaciones federadas
Los valores vlidos anteriormente en Live Communications Server 2005 son los siguientes: 0: Se usa el valor predeterminado definido por msRTCSIP-ArchiveDefault y msRTCSIP-ArchiveFederation, por este orden de prioridad: 1: 2: 3: Archivar No archivar Archivar sin el cuerpo del mensaje
msRTCSIP-BackEndServer
Este atributo especifica el FQDN del servidor back-end de fondo del grupo de servidores. Debido a que slo puede haber un servidor back-end de fondo por cada grupo de servidores, este atributo tiene un nico valor. El valor vlido para cada segmento es 63 caracteres; el valor vlido para el FQDN completo es 255 caracteres.
msRTCSIP-DefaultRouteToEdgeProxy
Este atributo especifica el nombre de dominio completo (FQDN) del servidor que ejecuta Office Communications Server o el servidor perimetral de acceso, si es directamente accesible, o del equilibrador de carga de hardware para una matriz de servidores que ejecutan el servidor perimetral de acceso. Si los servidores que ejecutan el servidor perimetral de acceso slo son accesibles a travs de uno o ms Directores, este atributo especifica el FQDN y, opcionalmente, el nmero de puerto del Director o del equilibrador de carga de hardware que sirve una matriz de Directores. El valor vlido para cada segmento es 63 caracteres; el valor vlido para el FQDN completo es 255 caracteres.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 59
msRTCSIP-DefaultRouteToEdgeProxyPort
Este atributo representa el nmero de puerto que se debera usar para conectar con el servidor que ejecuta el servidor perimetral de acceso de Office Communications. El valor vlido es un entero que especifique el puerto que se debe usar. El valor predeterminado es 5061.
msRTCSIP-DefPresenceSubscriptionTimeout
Este atributo representa el perodo de tiempo de espera de suscripcin de presencia predeterminado.
msRTCSIP-DefRegistrationTimeOut
Este atributo representa la ventana de tiempo de espera de registro predeterminada.
msRTCSIP-DefRoamingDataSubscriptionTimeout
Este atributo representa la ventana de tiempo de espera de la suscripcin de datos mviles predeterminada.
msRTCSIP-DomainData
Este atributo se reserva para su uso en el futuro.
msRTCSIP-DomainName
Este atributo representa un dominio configurado para el registro.
msRTCSIP-EdgeProxyData
Este atributo se reserva para su uso en el futuro.
msRTCSIP-EdgeProxyFQDN
Este atributo especifica el FQDN del servidor que ejecuta el servidor perimetral de acceso. El valor vlido para cada segmento es 63 caracteres; el valor vlido para el FQDN completo es 255 caracteres.
msRTCSIP-EnableBestEffortNotify
Este atributo controla si un servidor genera una solicitud Best Effort NOTIFY, o NOTIFY de mejor esfuerzo (BENOTIFY), en lugar de una solicitud NOTIFY, en respuesta a una solicitud SUBSCRIBE de un cliente. BENOTIFY es una extensin que mejora el rendimiento para el protocolo de enlace de notificaciones de suscripcin mediante la cual el servidor genera solicitudes BENOTIFY en lugar de las solicitudes NOTIFY normales. La ventaja desde el punto de vista del rendimiento consiste en que una solicitud BENOTIFY no requiere una respuesta 200 OK del cliente, a diferencia de la solicitud NOTIFY.
Nota
Live Communications Server 2003 no es compatible con las solicitudes BENOTIFY. Para interoperar con las aplicaciones de servidor escritas mediante las API de servidor de Live Communications Server 2003 que se ejecuten en servidores de Live Communications Server 2005 y servidores de otros fabricantes, las solicitudes BENOTIFY se puede deshabilitar al establecer su valor en FALSE. Actualmente, BENOTIFY no forma parte del proceso de normalizacin de SIP del Grupo de trabajo de ingeniera de Internet (IETF).
msRTCSIP-EnableFederation
Este atributo es un modificador global que los administradores de TI usan para configurar si los usuarios pueden comunicarse con usuarios de otras organizaciones. Permite al administrador sobrescribir el atributo FederationEnabled de un usuario concreto. Este atributo puede ser til para ayudar a proteger la red interna de ataques procedentes de Internet producidos por gusanos o virus, o ataques concretos dirigidos a la compaa. Los tipos de valores vlidos son: 1: 2: 4: 8: 16: 64: Se habilita para la conectividad de mensajera instantnea pblica Reservado Reservado Reservado RCC (control remoto de llamadas) habilitado [Telefona] AllowOrganizeMeetingWithAnonymousParticipants (les permite a los usuarios invitar a usuarios annimos a las reuniones)
128: UCEnabled (habilita a los usuarios para las comunicaciones unificadas) 256: EnabledForEnhancedPresence (habilita a los usuarios para la conectividad de mensajera instantnea pblica) 512: RemoteCallControlDualMode 1024: Enabled auto-attendant (habilita el uso del operador automtico)
msRTCSIP-EnterpriseServices
Este atributo indica si los servicios de Enterprise Server se cargan en el servidor determinado.
msRTCSIP-ExtensionData
Este atributo se reserva para su uso en el futuro.
msRTCSIP-FederationEnabled
Este atributo controla si un usuario est habilitado para la federacin. Lo aplica la capa de servicios de Enterprise Server. Se marca para la replicacin del catlogo global. Los valores vlidos son TRUE o FALSE.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 61
msRTCSIP-FrontEndServers
Este atributo es una lista de valor mltiple de los nombres de dominio de todos los servidores Enterprise Edition asociados a un grupo de servidores.
msRTCSIP-GlobalSettingsData
Este atributo almacena los pares de nombre:valor. El par nombre:valor ya definido corresponde al valor allow polling for presence (permitir la consulta de la informacin de presencia).
msRTCSIP-InternetAccessEnabled
Este atributo controla si un usuario est habilitado para el acceso de usuarios externos. Lo aplica la capa de servicios de Enterprise Server. Se marca para la replicacin del catlogo global. Los valores vlidos son TRUE o FALSE.
msRTCSIP-Line
Este atributo de un nico valor contiene el identificador de dispositivo (el URI de SIP o el URI de TEL del telfono que controla el usuario), que usa Microsoft Office Communicator para la telefona. Este atributo se marca para la replicacin del catlogo global y se indiza. En Office Communications Server 2007, si un usuario est habilitado para Enterprise Voice, este atributo almacena la versin normalizada E.164 del nmero de telfono del usuario.
msRTCSIP-LineServer
Este atributo de un solo valor contiene el URI de SIP del servidor de puerta de enlace de CSTA-SIP. Este atributo se marca para la replicacin del catlogo global pero no se indiza.
msRTCSIP-MaxNumOutstandingSearchPerServer
Este atributo representa el nmero mximo de solicitudes de bsqueda pendientes por servidor.
msRTCSIP-MaxNumSubscriptionsPerUser
El atributo representa el nmero mximo de suscripciones por usuario.
msRTCSIP-MaxPrescenceSubscriptionTimeout
Este atributo representa la ventana de tiempo de espera de suscripcin mxima.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 63
msRTCSIP-OptionFlags
Este atributo especifica las diferentes opciones que estn habilitadas para los objetos de tipo User o Contact. Este atributo es un valor de mscara de bits de tipo entero. Cada opcin est representada por un bit. Este atributo se marca para la replicacin del catlogo global. Los tipos de valores vlidos son: 1: 2: 4: 8: 16: 64: Se habilita para la conectividad de mensajera instantnea pblica Reservado Reservado Reservado RCC (control remoto de llamadas) habilitado [Telefona] AllowOrganizeMeetingWithAnonymousParticipants (les permite a los usuarios invitar a usuarios annimos a las reuniones)
128: UCEnabled (habilita a los usuarios para las comunicaciones unificadas) 256: EnabledForEnhancedPresence (habilita a los usuarios para la conectividad de mensajera instantnea pblica) 512: RemoteCallControlDualMode 1024: Enabled auto-attendant (habilita el uso del operador automtico)
msRTCSIP-OriginatorSID
Este atributo se usa en topologas de bosque de recursos y bosque central para habilitar el inicio de sesin nico cuando el objeto ObjectSID de un usuario de la cuenta principal de Windows NT se copia en este atributo del objeto User o Contact correspondiente en el bosque de recursos o bosque central. Communicator Web Access busca a un usuario en Active Directory mediante este atributo o el objeto ObjectSID del usuario. Este atributo se marca para la replicacin del catlogo global.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 65
msRTCSIP-PoolAddress
Este atributo especifica un vnculo de retorno al grupo de servidores al que pertenece un equipo. Este atributo se establece independientemente de si el equipo est ejecutando la versin Standard Edition o Enterprise Edition de Office Communications Server. Este atributo se marca para la replicacin del catlogo global. El valor vlido es el nombre de dominio del grupo de servidores.
msRTCSIP-PoolData
Este atributo es un atributo reservado.
msRTCSIP-PoolDisplayName
Este atributo especifica un nombre arbitrario de un grupo de servidores que se muestra en la consola de administracin. El administrador puede cambiar este nombre. El valor vlido es una cadena que represente el nombre de un grupo de servidores.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 67
msRTCSIP-PoolType
Este atributo especifica si un grupo de servidores est ejecutando Office Communications Server, Standard Edition u Office Communications Server, Enterprise Edition. Los tipos de valores vlidos posibles son: Office Communications Server, Standard Edition Office Communications Server, Enterprise Edition
msRTCSIP-PoolVersion
Este atributo define la versin del grupo de servidores. Es un tipo entero que se incrementa con cada lanzamiento del producto principal. Los tipos de valores vlidos posibles son: 0: Live Communications Server 2003 1: Live Communications Server 2005 2: Live Communications Server 2005 SP1 3: Office Communications Server
msRTCSIP-PrimaryHomeServer
Este atributo habilita un usuario o contacto para la mensajera SIP. Est agregado a la clase de contacto porque, en la topologa de bosque central, los objetos de contacto son los que estn habilitados para SIP, y no los objetos de usuario. El valor vlido es el nombre de dominio del servidor o grupo de servidores principales donde se hospeda un usuario.
msRTCSIP-UserAddress
Este atributo contiene la direccin SIP de un usuario determinado.
msRTCSIP-SchemaVersion
Este atributo representa la versin del esquema implementada actualmente en la organizacin.
msRTCSIP-SearchMaxRequests
Este atributo limita el nmero de resultados de la bsqueda que se va a devolver de una bsqueda en directorios cuando un usuario busca un contacto mediante Comunicador de Office. Este atributo invalidar el valor proporcionado por el cliente.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 69
Los siguientes atributos representan un tipo de grupo de un bosque diferente para la expansin del grupo de distribucin: 0x00000002: ADS_GROUP_TYPE_GLOBAL_GROUP 0x00000004: ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP 0x00000004: ADS_GROUP_TYPE_LOCAL_GROUP 0x00000008: ADS_GROUP_TYPE_UNIVERSAL_GROUP 0x80000000: ADS_GROUP_TYPE_SECURITY_ENABLED 0x90000000: Representa un objeto de acceso de suscriptor o de operador automtico desde el mismo bosque o desde un bosque diferente.
msRTCSIP-TargetHomeServer
Este atributo habilita mover a un usuario o contacto desde un servidor o grupo de servidores de Office Communications Server a otro. Este atributo est agregado a la clase de contacto porque, en la topologa de bosque central, los objetos de contacto son los que estn habilitados para SIP, y no los objetos de usuario. El valor vlido es el nombre distintivo del servidor Standard Edition o del grupo de servidores Enterprise Edition de destino al que se va a mover un usuario.
msRTCSIP-TrustedServerFQDN
Este atributo es un atributo de un solo valor que representa el FQDN de un servidor de confianza.
msRTCSIP-TrustedServerVersion
Este atributo especifica el nmero de versin de un servidor de la lista de servidores de confianza. Los tipos de valores vlidos posibles son: NULL: Live Communications Server 2003 2: 3: Live Communications Server 2005 Office Communications Server 2007
msRTCSIP-TrustedServiceLinks
Este atributo de valor mltiple contiene una lista de nombres distintivos (DN) que hacen referencia a un objeto de servicio de confianza, por ejemplo, un servicio de autenticacin de transmisin de medios. Un servicio de autenticacin de transmisin de medios (fsicamente ubicado en el servidor perimetral de conferencia A/V) se debe asociar a un grupo de servidores para admitir escenarios de audio para usuarios remotos. El vnculo de retorno correspondiente a este atributo de vnculo de avance es msRTCSIP-ServerBL.
msRTCSIP-UCFlags
Este atributo define diferentes opciones de comunicaciones unificadas que estn habilitadas globalmente para todos los objetos User o Contact. Este atributo es un valor de mscara de bits de tipo entero. Cada opcin est representada por la presencia de un bit.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 71
Los tipos de valores vlidos posibles son: 4: UsePerUserUCPolicy Cuando se establece este bit, la directiva de comunicaciones unificadas la define el usuario.
msRTCSIP-UCPolicy
Este atributo de un solo valor contiene el nombre distintivo (DN) de la directiva de comunicaciones unificadas que el administrador ha asignado para este usuario.
msRTCSIP-UserDomainList
Este atributo proporciona una lista de todos los dominios de un bosque que hospedan usuarios habilitados para SIP. De manera predeterminada se ofrece una lista vaca, lo que indica que todos los dominios del bosque estn habilitados para SIP. Como valor vlido, se admiten cadenas que representen los nombres de dominio de cada dominio.
msRTCSIP-UserEnabled
Este atributo determina si el usuario est actualmente habilitado para Office Communications Server.
msRTCSIP-UserExtension
Este atributo de valor mltiple contiene una lista de pares de nombre y valor en el formato de nombre=valor. Este atributo se marca para la replicacin del catlogo global.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 73
En la siguiente tabla se describen los problemas y las soluciones necesarias para cada condicin. Tabla 6. Problemas y soluciones para las condiciones de bloqueo de Active Directory
Problema de bloqueo de Active Directory Solucin
Caso 1: las entradas de control de acceso (ACE) de usuarios autenticados se quitan de los contenedores Se necesitan permisos adicionales para permitir que un usuario ejecute Preparar el dominio, Activacin y Crear grupo de servidores. Siempre es necesario usar una cuenta con credenciales de administrador de dominio para ejecutar Preparar el dominio, Activacin y Crear grupo de servidores. En un entorno bloqueado, tambin se deben conceder explcitamente a esta cuenta permisos de acceso de lectura en los contenedores relevantes de la raz del bosque, ya que los procedimientos de bloqueo de Active Directory
quitan estos permisos. Otra posibilidad es usar una cuenta con credenciales de administrador de organizacin para ejecutar estos procedimientos.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 75
Caso 2: Se deshabilita la herencia de permisos en los contenedores de los objetos User, InetOrgPerson, Contact y Computer Establecer entradas ACE adicionales en contenedores de objetos User. Para establecer entradas ACE relativas a los grupos administrativos y de servicio, ejecute el procedimiento CreateLcsOuPermissions directamente en cada contenedor de objetos User del dominio. Si la organizacin usa objetos Contact o InetOrgPerson en la implementacin de Office Communications Server, ejecute tambin el procedimiento CreateLcsOuPermissions directamente en cada uno de estos contenedores. Para establecer entradas ACE relativas a los grupos administrativos y de servicio, ejecute el procedimiento CreateLcsOuPermissions en un contenedor de objetos Computer.
En las siguientes secciones se explica cmo preparar Active Directory cuando se quitan las entradas ACE de usuarios autenticados o se deshabilita la herencia de permisos.
Para permitir que un usuario ejecute Preparar el dominio, la activacin de los servidores o la creacin de grupos de servidores en cualquier dominio que no pertenezca a la raz del bosque, dispone de las siguientes opciones: Use una cuenta con credenciales de administrador de organizacin para ejecutar Preparar el dominio. Use una cuenta con credenciales de administrador de dominio y conceda a esta cuenta permisos de acceso de lectura en cada uno de los siguientes contenedores del dominio raz del bosque: Dominio Sistema
En las siguientes secciones se proporcionan las instrucciones paso a paso para conceder el acceso de slo lectura necesario para permitirle a un usuario ejecutar el paso Preparar el dominio y otras tareas de configuracin.
Para conceder a un usuario permisos de acceso de lectura en contenedores del dominio raz del bosque
1. Inicie una sesin en el equipo unido al dominio raz del bosque con una cuenta que tenga credenciales de administrador de dominio en este dominio. 2. Ejecute Adsiedit.msc para el dominio raz del bosque. 3. Si se han quitado las entradas de control de acceso de usuarios autenticados del contenedor Domain o Systems, debe conceder permisos de slo lectura al contenedor: 4. Haga clic con el botn secundario en el contenedor y, a continuacin, haga clic en Propiedades. 5. 6. 7. Haga clic en la ficha Seguridad. Haga clic en Avanzadas. En la ficha Permisos, haga clic en Agregar.
8. Escriba el nombre del usuario o grupo que recibe permisos usando el siguiente formato: dominio\nombre de cuenta. 9. 10. Haga clic en Aceptar. En la ficha Objetos, en Aplicar en, haga clic en Slo este objeto.
11. En Permisos, seleccione las siguientes entradas ACE de permiso haciendo clic en la columna Permitir: Mostrar contenido, Leer todas las propiedades y Permisos de lectura. 12. 13. Haga clic en Aceptar dos veces. Repita estos pasos para cualquiera de los contenedores enumerados en el paso 3.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 77
Para solucionar estos problemas, Office Communications Server ofrece un procedimiento adicional para la preparacin de Active Directory llamado CreateLcsOuPermissions, disponible mediante la herramienta de implementacin de la lnea de comandos, LcsCmd.exe. Este procedimiento establece las entradas ACE de Office Communications Server necesarias directamente en un contenedor especificado y los objetos del contenedor. En las siguientes secciones se explica cmo conceder estos permisos: Establecer permisos en los contenedores User, InetOrPerson y Contact despus de ejecutar Preparar el dominio. Establecer permisos en los contenedores Computer despus de ejecutar Preparar el dominio.
Establecer permisos en los contenedores User, InetOrgPerson y Contact despus de ejecutar Preparar el dominio
Con Active Directory bloqueado, durante el paso Preparar el dominio no se establecen las entradas ACE necesarias en los contenedores User o InetOrgPerson del dominio si est deshabilitada la herencia de permisos. Despus de ejecutar Preparar el dominio en un dominio, ejecute CreateLcsOuPermissions en cada contenedor con objetos User o InetOrgPerson que tenga deshabilitado la herencia de permisos. Si ha implementado una topologa de bosque central, tambin debe ejecutar CreateLcsOuPermission en el contenedor con objetos Contact. Este procedimiento agrega las entradas ACE necesarias directamente en los contenedores especificados y los objetos User o InetOrgPerson del contenedor. Cuando ejecute CreateLcsOuPermissions, especifique el tipo de objeto con el parmetro /objecttype. Se necesitan credenciales de administrador de dominio para ejecutar este procedimiento. Si tambin se han quitado las entradas ACE de usuarios autenticados, debe conceder a esta cuenta acceso de lectura a las entradas ACE en los contenedores relevantes del dominio raz del bosque, como se describi anteriormente en Caso 1: se quitan los permisos de usuarios autenticados, o utilizar una cuenta con credenciales de administrador de organizacin.
Por ejemplo:
LcsCmd.exe /domain /action:CreateLcsOuPermissions /ou:OU=usersOU /objectType:user
3. Compruebe que el procedimiento CreateLcsOuPermissions se ha realizado correctamente; para ello, compruebe que el archivo de registro LcsCmd indica Correcto y que no contiene errores. Tambin puede ejecutar: LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CheckLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:<type of object user, InetOrgPerson, contact>
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 79
Por ejemplo:
LcsCmd.exe /domain:resources.corp.woodgrovebank.com /action:CreateLcsOuPermissions /ou:OU=computersOU /objectType:computer
3. Compruebe que el procedimiento CreateLcsOuPermissions se ha realizado correctamente; para ello, compruebe que el archivo de registro LcsCmd indica Correcto y que no contiene errores. Tambin puede ejecutar:
LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CheckLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>
Nota
Si ejecuta Preparar el dominio en el dominio raz del bosque en un entorno con Active Directory bloqueado, tenga en cuenta que Office Communications Server necesita tener acceso a los contenedores Schema y Configuration en Active Directory. Si se quita el permiso de usuario autenticado predeterminado de los contenedores Schema o Configuration en Active Directory, slo los administradores de esquema o los administradores de organizacin podrn tener acceso a estos contenedores. Puesto que Setup.exe, LcsCmd.exe y el complemento administrativo necesitan tener acceso a estos contenedores, el programa de instalacin y la instalacin de las herramientas administrativas no se podrn ejecutar a menos que el usuario que ejecuta la instalacin tenga credenciales de administrador de esquema y de administrador de organizacin. Para solucionar esta situacin, deber conceder al grupo RTCUniversalGlobalReadyOnly acceso a los contenedores Schema y Configuration.
Error! Utilice la ficha Inicio para aplicar Heading 2,Second Level Topic,h2 al texto que desea que aparezca aqu. 81