microsoft office communications server 2007 active ... · web viewoffice communications server 2007...

Publicado: Septiembre 2007

Microsoft® Office Communications Server 2007 Guía de Active Directory

▪Preparar Active Directory▪Delegar la configuración y la administración▪Referencia de esquema de Active Directory

Error! No text of specified style in document.

La información contenida en este documento, incluidas las direcciones URL así como otras referencias a sitios web de Internet, está sujeta

a modificaciones sin previo aviso. A menos que se indique lo contrario, las compañías, organizaciones, productos, nombres de dominio,

direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos aquí mencionados son ficticios. No se pretende indicar,

ni debe deducirse ninguna asociación con compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico,

logotipos, personas, lugares o acontecimientos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos

de autor aplicables. Sin limitar los derechos que se derivan de las leyes de derechos de autor, ninguna parte de este documento puede

ser reproducida, almacenada o introducida en un sistema de recuperación de datos, ni transmitida de ninguna forma, ni por ningún

medio, ya sea electrónico o mecánico, incluidas fotocopias o grabación, con ningún propósito, sin el permiso previo por escrito de

Microsoft Corporation.

Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor u otros derechos de propiedad intelectual que

cubran el contenido de este documento. A menos que se indique explícitamente en un contrato de licencia por escrito de Microsoft, el

presente documento no otorga ninguna licencia sobre esas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual.

©2007 Microsoft Corporation. Reservados todos los derechos.

Microsoft, Active Directory, MS-DOS, Outlook, SharePoint, Windows, Windows NT y Windows Server son marcas comerciales del

grupo de compañías de Microsoft.

El resto de marcas comerciales son propiedad de sus respectivos propietarios.

ContenidoIntroducción......................................................................................4

Cómo está estructurada esta guía...............................................4Cómo usar esta guía....................................................................5Términos y conceptos..................................................................5Requisitos de infraestructura.......................................................6

Información general de la preparación de Active Directory..............7Información general sobre el paso Preparar el esquema.............8Información general sobre el paso Preparar el bosque................8Información general sobre el paso Preparar el dominio.............11

Preparación de Active Directory......................................................13Métodos de implementación......................................................14Preparar Active Directory con la herramienta de implementación del programa de instalación............................15Preparar Active Directory mediante la línea de comandos.........20

Delegación de la configuración y la administración........................23Caso 1: Delegar la configuración (instalación y activación).......24Caso 2: Delegar la administración del servidor..........................27Caso 3: Delegar la administración de usuarios...........................29Caso 4: Delegar la administración del servidor de sólo lectura. .30Caso 5: Delegar la administración de usuarios de sólo lectura. .32

Referencia de esquema de Active Directory...................................33Clases de Active Directory.........................................................33Atributos de Active Directory.....................................................37Descripción de los atributos.......................................................45

Apéndice A: Cómo preparar Active Directory bloqueado.................61Caso 1: se quitan los permisos de usuarios autenticados..........62Caso 2: se deshabilita la herencia de permisos en los contenedores Computer, User o InetOrgPerson.........................64

IntroducciónPara implementar y usar Microsoft® Office Communications Server 2007, debe extender el esquema de los Servicios de dominio del servicio de directorios Microsoft Active Directory® y, a continuación, crear y configurar los objetos en Active Directory. Estas extensiones agregan los nuevos atributos y clases de Active Directory necesarios para que Office Communications Server 2007 funcione.

En esta guía se describen las extensiones y se tratan las áreas siguientes:

Cómo preparar Active Directory para que pueda implementar y usar Office Communications Server 2007.

Cómo delegar los permisos de configuración y administración.

Referencia de esquema de Active Directory.

Cómo está estructurada esta guíaEsta guía contiene las secciones siguientes:

Requisitos de infraestructura. Explica los requisitos previos necesarios para la preparación de Active Directory.

Información general de la preparación de Active Directory. Presenta una descripción general de los procedimientos para la preparación de Active Directory para Office Communications Server 2007 y describe la finalidad y las acciones que se llevan a cabo en cada paso para la preparación de Active Directory. En esta sección se explican los pasos principales que es necesario realizar en cada dominio y bosque en donde se implementen los servidores que ejecutan Office Communications Server.

Preparación de Active Directory. Facilita las instrucciones paso a paso necesarias para realizar las tareas básicas de preparación de Active Directory mediante la herramienta de implementación de GUI (Setup.exe) y la herramienta de línea de comandos (LcsCmd.exe).

Delegación de la configuración y la administración. Explica cómo usar la herramienta de implementación y la línea de comandos para delegar las tareas de configuración o administración. Puede usar la herramienta de implementación o la línea de comandos para delegar las credenciales de configuración a un grupo determinado, para que no sean necesarias las tareas de administrador de dominio. También puede delegar los permisos de usuario o de servidor en un servidor o grupo de servidores específico, o en permisos de usuario de solo lectura o de administración de servidores.

Referencia de esquema de Active Directory. Ofrece información acerca de los atributos y las clases que agrega Office Communications Server 2007.

Referencia de esquema de Active Directory 7 Apéndice A: cómo preparar Active Directory bloqueado. Explica el modo de

preparar Active Directory cuando están deshabilitadas la herencia de permisos y las entradas de control de acceso para usuarios autenticados.

8 Microsoft® Office Communications Server 2007 Guía de Active Directory

Cómo usar esta guíaEl modo en que use esta guía depende de lo que necesite saber y de lo que tenga que hacer. Elija entre las siguientes opciones:

Para obtener más información detallada sobre la preparación de Active Directory, lea esta guía de principio a fin.

Para obtener procedimientos paso a paso para preparar Active Directory, continúe con la sección Preparación de Active Directory de esta guía.

Para obtener procedimientos paso a paso sobre el modo de delegar los permisos para realizar la configuración o la administración de Office Communications Server, continúe con la sección Delegación de la configuración y la administración de esta guía. Sin embargo, antes de delegar las tareas de configuración o administración, Active Directory debe estar preparado para Office Communications Server.

Para entender en detalle las clases de esquema y los atributos, continúe con la sección Referencia de esquema de Active Directory de esta guía.

Términos y conceptos Active Directory: servicio de directorio que almacena información sobre los objetos

de una red y la pone a disposición de los usuarios y de los administradores de red.

Clase: en Active Directory, características de un objeto y tipo de información que puede contener. Para cada clase de objeto, el esquema define qué atributos debe tener una instancia de la clase y qué atributos adicionales puede tener.

Dominio: grupo de equipos que forman parte de una red y que comparten una base de datos de directorio común. Un dominio se administra como una unidad con reglas y procedimientos comunes. Cada dominio tiene un nombre único. Un dominio de Active Directory es un conjunto de equipos definido por el administrador de una red que está basado en el sistema operativo de Microsoft Windows®. Estos equipos comparten las mismas bases de datos de directorio, directivas de seguridad y relaciones de seguridad con otros dominios. Un dominio de Active Directory proporciona acceso a las cuentas de usuario y de grupo centralizadas que mantiene el administrador del dominio.

Controlador de dominio: servidor incluido en un bosque de Active Directory que contiene una copia modificable de la base de datos de Active Directory, participa en la replicación de Active Directory y controla el acceso a los recursos de la red.

Bosque: conjunto de uno o varios dominios de Windows que comparten un esquema, una configuración y un catálogo global comunes, y que están vinculados con relaciones de confianza transitivas bidireccionales.

Dominio raíz del bosque: principio del espacio de nombres del Sistema de nombres de dominio (DNS, Domain Name System). En Active Directory, el dominio inicial en un árbol de Active Directory. Asimismo, el dominio inicial de un bosque.

Referencia de esquema de Active Directory 9

Servidor de catálogo global: base de datos de directorio en la que aplicaciones y clientes pueden realizar consultas para buscar cualquier objeto en un bosque. El catálogo global está hospedado en uno o varios controladores de dominio en el bosque y contiene una replicación parcial de cada partición del directorio del dominio en el bosque. Entre estas replicaciones parciales se incluyen replicaciones de cada objeto del bosque, de la siguiente manera:

Los atributos más usados en operaciones de búsqueda.

Los atributos necesarios para buscar una replicación completa del objeto.

Grupos globales: grupo de seguridad o distribución que puede contener como miembros a usuarios, grupos y equipos de su propio dominio. Los grupos de seguridad globales pueden tener derechos y permisos relativos a recursos en cualquier dominio del bosque al que correspondan.

Esquema: conjunto de definiciones para el universo de objetos que se puede almacenar en un directorio. Para cada clase de objeto, el esquema define qué atributos debe tener una instancia de la clase y qué atributos adicionales puede tener, así como qué otras clases de objeto pueden ser su clase de objeto primaria.

Grupo universal: grupo de seguridad o distribución que puede contener como miembros a usuarios, grupos y equipos de su propio dominio. Los grupos de seguridad universales pueden tener derechos y permisos relativos a recursos en cualquier dominio del bosque al que correspondan.

Requisitos de infraestructuraAntes de preparar Active Directory para Office Communications Server 2007, asegúrese de que la infraestructura de Active Directory cumple estos requisitos previos:

Los controladores de dominio ejecutan Microsoft Windows® 2000 Server SP4 (Service Pack 4), Service Pack 1 de Microsoft Windows Server® 2003, Windows Server 2003 R2 o sistemas operativos posteriores. (Se recomienda Windows Server 2003 R2).

Los servidores de catálogo global ejecutan Windows 2000 Server SP4, Windows Server 2003 SP1 o Windows Server 2003 R2 o posterior. (Se recomienda Windows Server 2003 R2).


Todos los dominios en los que implementa Office Communications Server usan en modo nativo Windows 2000 Server o un sistema operativo posterior. No puede implementar Office Communications Server en un dominio de modo mixto. Office Communications Server 2007 es compatible con grupos universales en modo nativo en los sistemas operativos Microsoft Windows Server 2003 y Windows 2000 Server. Los miembros de grupos universales pueden incluir otros grupos y cuentas de cualquier dominio en el árbol de dominio o bosque y se les pueden asignar permisos en cualquier dominio en el árbol de dominio o bosque. La compatibilidad de grupo universal, combinada con la delegación de administrador, simplifica la administración de una implementación de Office Communications Server 2007. Por ejemplo, ya no es necesario agregar un dominio a otro para permitir a un administrador administrar ambos. Al eliminar el requisito de agregar dominios, también se simplifica la implementación.

Información general de la preparación de Active Directory

La preparación de Active Directory para Office Communications Server 2007 implica tres pasos básicos que se explican con más detalle en las secciones siguientes:

Preparar el esquema de Active Directory. Se extiende el esquema de Active Directory de forma que se le puedan agregar las nuevas clases y atributos necesarios para Office Communications Server 2007. Este paso se ejecuta una vez en un bosque de Active Directory.

NotaPara cambiar su dominio para ejecutar en modo nativo Windows 2000 o posterior, consulte http://r.office.microsoft.com/r/rlidOCS?clid=1033&p1=revdomain.

Referencia de esquema de Active Directory 11 Preparar el bosque de Active Directory. Se crean atributos y objetos de Office

Communications Server en el contenedor Systems, en el dominio raíz o en el contexto de nomenclatura de configuración. Estos objetos y atributos son necesarios para el funcionamiento y la implementación de Office Communications Server. El paso Preparar el bosque es necesario y se ejecuta una vez en un bosque de Active Directory.

Preparar cada dominio de Active Directory. Se agregan permisos en los objetos del dominio para los grupos universales. El paso Preparar el dominio es necesario y se debe ejecutar una vez en cada dominio donde se implemente Office Communications Server.


Información general sobre el paso Preparar el esquema

En el paso Preparar el esquema se extiende el esquema de Active Directory para incluir clases y atributos específicos de Office Communications Server 2007. Se trata del primer procedimiento que se ejecuta para preparar el entorno para la implementación de Office Communications Server 2007. Este procedimiento es necesario y se ejecuta sólo una vez en el bosque de Active Directory. Consulte la sección Preparación de Active Directory más adelante en esta guía, para obtener los pasos concretos y las credenciales necesarias para ejecutar este procedimiento.

Office Communications Server 2007 agrega nuevas clases y atributos al esquema de Active Directory. Estas clases y atributos se describen en detalle en la sección Referencia de esquema de Active Directory más adelante en esta guía.

Información general sobre el paso Preparar el bosque

En el paso Preparar el bosque se crean objetos de Office Communications Server en el contenedor Systems del dominio raíz del bosque, si la opción predeterminada está seleccionada, o en el contenedor de configuración, si lo elige. Estos objetos contienen la configuración global e información sobre la implementación de Office Communications Server. En este paso también se crean objetos de Office Communications Server en el contenedor Configuration que contienen conjuntos de propiedades y especificadores de presentación que usa Office Communications Server.

El paso Preparar el bosque se debe ejecutar una vez en cada bosque de Active Directory donde se tenga previsto implementar Office Communications Server. Consulte la sección Preparación de Active Directory más adelante en esta guía, para obtener los pasos concretos y las credenciales necesarias para ejecutar este procedimiento.

Crea la configuración global y los objetos de Active Directory

Crea los grupos de Active Directory que usa Office Communications Server

Configuración global y objetos de Active DirectoryEn el paso Preparar el bosque se crea la configuración global y los objetos que usa Office Communications Server, como sigue:

Crea la configuración global en los objetos de Active Directory en el contenedor del sistema del dominio raíz o en el contenedor de configuración, en función de la opción que seleccione.

Referencia de esquema de Active Directory 13 Si elige almacenar la configuración global en el contenedor System en el dominio

raíz (opción recomendada), se agrega un nuevo contenedor Microsoft bajo System del dominio raíz y se agrega un nuevo objeto RTC Service bajo el objeto System\Microsoft. Si elige almacenar la configuración global en el contenedor Configuration del dominio raíz, se usa el contenedor Services existente, pero se agrega un nuevo objeto RTC Service bajo el objeto Configuration\Services.


Agrega un objeto Global Settings de tipo msRTCSIP-GlobalContainer bajo el objeto RTC Service. El objeto Global Settings contiene toda la configuración que se aplica en toda la implementación de Office Communications Server 2007.

Agrega un nuevo objeto msRTCSIP-Domain para el dominio raíz en el que se ejecuta el paso Preparar el bosque. El dominio se puede especificar tanto en implementación de la línea de comandos como de GUI.

Servicio universal y grupos de administración de Active Directory

En el paso Preparar el bosque también se crean grupos universales basados en el dominio que especifique para hospedar grupos universales y se agregan las entradas de control de acceso (ACE) para estos grupos. En este paso se crea lo siguiente:

Grupos universales en los contenedores User del dominio que especifique para hospedar los grupos universales que usa Office Communications Server, de la siguiente manera:

Grupos de servicios:

RTCHSUniversalServices

RTCComponentUniversalServices

RTCArchivingUniversalServices

RTCProxyUniversalServices

RTCUniversalGuestAccessGroup concede acceso a usuarios al contenido de reuniones para conferencias. Este grupo lo usan usuarios internos con credenciales de Active Directory que están conectados remotamente, así como usuarios anónimos que no tienen credenciales de Active Directory.

Grupos de administración:

RTCUniversalServerAdmins permite a los miembros administrar la configuración de servidor y de grupo de servidores.

RTCUniversalUserAdmins permite a los miembros administrar la configuración de usuario y mover usuarios de un servidor o grupo de servidores a otro.

RTCUniversalReadOnlyAdmins permite a los miembros leer la configuración de servidor, de grupo de servidores y de usuario.

Grupos de infraestructuras:

RTCUniversalGlobalWriteGroup concede acceso de escritura a los objetos de la configuración global de Office Communications Server.

RTCUniversalGlobalReadOnlyGroup concede acceso de solo lectura a los objetos de la configuración global de Office Communications Server.


RTCUniversalUserReadOnlyGroup concede acceso de solo lectura a la configuración de usuario de Office Communications Server.

RTCUniversalUserReadOnlyGroup concede acceso de solo lectura a la configuración de Office Communications Server. Este grupo no tiene acceso a la configuración de nivel de grupo de servidores sino únicamente a la configuración específica de un servidor individual.

Agrega los grupos de administradores a los grupos de infraestructuras correctos:

RTCUniversalServerAdmins se agrega a RTCUniversalGlobalReadOnlyGroup, RTCUniversalGlobalWriteGroup, RTCUniversalServerReadOnlyGroup y RTCUniversalUserReadOnlyGroup.

RTCUniversalUserAdmins se agrega como miembro de RTCUniversalGlobalReadOnlyGroup, RTCUniversalServerReadOnlyGroup y RTCUniversalUserReadOnlyGroup.

RTCHSUniversalServices, RTCComponentUniversalServices y RTCUniversalReadOnlyAdmins se agregan como miembros de RTCUniversalGlobalReadOnlyGroup, RTCUniversalServerReadOnlyGroup y RTCUniversalUserReadOnlyGroup.

En el paso Preparar el bosque se crean entradas de control de acceso privadas en el contenedor de la configuración global que usa Office Communications Server 2007. Este contenedor únicamente lo usa Office Communications Server y está ubicado en el contenedor System del dominio raíz o en el contenedor Configuration, dependiendo de las opciones que especifique. Las entradas de control de acceso públicas que se crean en el paso Preparar el bosque se enumeran en la tabla siguiente:

Tabla 1. Entradas de control de acceso que se agregan en el paso Preparar el bosque

RTCUniversalGlobalReadOnlyGroup

Contenedor System de dominio raíz Read (no se hereda)*

X

Contenedor DisplaySpecifiers de Read Configuration (no se hereda)

X

16 Microsoft® Office Communications Server 2007 Guía de Active Directory* Las entradas de control de acceso que no se heredan no permiten el acceso a los objetos secundarios de estos contenedores. Las entradas de control de acceso que se heredan permiten el acceso a los objetos secundarios de estos contenedores.


En el paso Preparar el bosque se realizan las siguientes tareas en el contenedor Configuration bajo el contexto de nomenclatura de configuración.

Se agrega una entrada {AB255F23-2DBD-4bb6-891D-38754AC280EF} para la página RTC property bajo los atributos adminContextMenu y adminPropertyPages del especificador de presentación de idioma correspondiente a objetos User, Contact e InetOrgPerson (por ejemplo, CN=user-Display, CN=409, CN=DisplaySpecifiers).

Se agrega un objeto RTCPropertySet de tipo controlAccessRight bajo Extended-Rights que se aplica a las clases User y Contact.

Se agrega un objeto RTCUserSearchPropertySet de tipo controlAccessRight bajo Extended-Rights que se aplica a las clases User, Contact, OU y DomainDNS.

Se agrega msRTCSIP-PrimaryUserAddress bajo el atributo extraColumns de cada especificador de presentación de unidad organizativa de idioma (por ejemplo, CN=organizationalUnit-Display,CN=409,CN=DisplaySpecifiers) y se copian los valores del atributo extraColumns de la presentación predeterminada (por ejemplo, CN=default-Display, CN=409,CN=DisplaySpecifiers).

Agrega los atributos de filtro msRTCSIP-PrimaryUserAddress, msRTCSIP-PrimaryHomeServer y msRTCSIP-UserEnabled bajo el atributo attributeDisplayNames de cada especificador de presentación de idioma correspondiente a objetos User, Contact e InetOrgPerson (por ejemplo, en inglés: CN=user-Display,CN=409,CN=DisplaySpecifiers).

Información general sobre el paso Preparar el dominio

En el paso Preparar el dominio se agregan las entradas de control de acceso necesarias para los grupos universales que conceden los permisos para hospedar y administrar usuarios dentro del dominio. Este paso es necesario en todos los dominios donde desee implementar servidores de Office Communications Server y en cualquier dominio donde vayan a residir los usuarios de Office Communications Server. La tarea se ejecuta una vez en cada dominio.

En este paso se crean las entradas de control de acceso en la raíz del dominio y tres contenedores integrados: usuarios, equipos y controladores de dominio. En las tablas 2 y 3 se enumeran estas entradas de control de acceso. Todas las entradas de control de acceso se heredan, a menos que se indique lo contrario.


Tabla 2. Entradas de control de acceso que se agregan al dominio raízRTCUniversal-UserrReadOnly-Group

RTCUniversal-ServerReadOnly-Group

RTCUniversal-UserAdmins

RTCHSUniversal-Services

AuthenticatedUsers

Read Container (no se hereda)

X X

Read User PropertySetUser-Account-Restrictions

X

Read User PropertySetPersonal-Information

X

Read User PropertySetGeneral-Information

X

Read User PropertySetPublic-Information

X

Read User PropertySetRTCUserSearchProperty-Set

X X

Read User PropertySetRTCPropertySet

X

Write User PropertyProxy-Addresses

X

Write User PropertySetRTCUserSearchProperty-Set

X

Write User PropertySetRTCPropertySet

X

Read PropertySet X


RTCUniversal-UserrReadOnly-Group

RTCUniversal-ServerReadOnly-Group

RTCUniversal-UserAdmins

RTCHSUniversal-Services

AuthenticatedUsers

DS-Replication-Get-Changes de todos los objetos de Active Directory


Tabla 3. Entradas de control de acceso que se agregan a los contenedores Users, Computers y Domain Controller

RTCUniversalUserReadOnlyGroup

RTCUniversalServerReadOnlyGroup

Read Container (no se hereda)

X X

Si su organización está usando contenedores personalizados en lugar de los tres contenedores integrados, el grupo Usuarios autenticados debe tener acceso de lectura a los contenedores personalizados. Si el grupo Usuarios autenticados no tiene acceso de lectura al contenedor personalizado, use LcsCmd.exe para ejecutar el comando CreateLcsOUPermissions para conceder permisos de lectura en cualquier contenedor personalizado.

Ejecute un comando similar al siguiente para cada contenedor personalizado:

lcscmd /Domain:<Domain FQDN> /Action:CreateLcsOuPermissions /OU:<nombre distintivo> /ObjectType:<User | Contact | InetOrgPerson | Computer>

Donde /OU (unidad organizativa) especifica el nombre distintivo de la unidad organizativa, excepto la parte de raíz de dominio del nombre distintivo.

Preparación de Active DirectoryEn esta sección se explica cómo ejecutar los tres procedimientos básicos para preparar Active Directory:

Preparar el esquema

Preparar el bosque

Preparar el dominio

NotaSi la herencia de los permisos está deshabilitada o los permisos del usuario autenticado se deben deshabilitar en su organización, hay pasos adicionales que debe realizar durante el paso Preparar el dominio. Consulte la sección Apéndice A: cómo preparar Active Directory bloqueado, más adelante en esta guía.


Debe ejecutar los pasos de preparación de Active Directory en un equipo que ejecuta Windows Server 2003 SP1 o posterior, Windows Server 2003 R2 o posterior. No puede ejecutar los pasos de preparación de Active Directory desde Windows 2000 Server y versiones anteriores o cualquier versión cliente del sistema operativo Windows.

La tabla 4 muestra las credenciales administrativas necesarias para cada tarea.

Tabla 4. Credenciales administrativas necesarias para la preparación de Active Directory

Procedimiento Funciones o credenciales administrativas necesariasPreparar el esquema

Administrador de esquema y administrador local en el maestro de esquema

Preparar el bosque

Administrador de organización o administrador de dominio del dominio raíz del bosque

Preparar el dominio

Administrador de organización o administrador de dominio

Métodos de implementaciónPuede implementar Office Communications Server 2007 mediante uno de los siguientes dos métodos:

La herramienta de implementación, Setup.exe, que se incluye en el CD.

La herramienta de implementación ofrece un conjunto de asistentes que le guían en cada una de las tareas de implementación.

La herramienta de línea de comandos, LcsCmd.exe, que se incluye en el CD.

Implementación mediante la herramienta de implementaciónOffice Communications Server 2007 proporciona Setup.exe, una herramienta de implementación que guía a los usuarios en los procedimientos de implementación necesarios para distintas funciones de Office Communications Server 2007. Setup.exe proporciona: Una lista secuencial de las tareas necesarias para implementar servidores Standard Edition

o Enterprise Edition. Explicaciones de cada tarea y los permisos necesarios. Un conjunto de asistentes para guiarle en cada tarea.

Implementación mediante la línea de comandosPuede usar la herramienta de línea de comandos, LcsCmd.exe, para preparar Active Directory. El método de la línea de comandos resulta útil para organizaciones de gran tamaño, ya que los pasos se pueden ejecutar de forma remota.


Preparar Active Directory con la herramienta de implementación del programa de instalación

Si va a implementar Active Directory en un único dominio y con una topología de bosque único u otra topología similar, la preparación de Active Directory no es compleja. Utilice los pasos que se indican en esta sección para preparar Active Directory con Setup.exe.

Si va a implementar Active Directory en un entorno más complejo o desea ejecutar estos pasos de forma remota, continúe con la sección titulada Preparar Active Directory mediante la línea de comandos .

Ejecución del paso Preparar el esquemaAntes de comenzar, puede revisar todas las extensiones de Active Directory que se van a modificar para Office Communications Server con un editor de texto como el Bloc de notas de Windows. El archivo Schema.ldf se encuentra en la carpeta \Setup\I386 del CD, tanto en la versión de Standard Edition como en la versión de Enterprise Edition.

Las extensiones del esquema de Office Communications Server se replican en todos los dominios secundarios, lo que afecta al ancho de banda de la red. Debe ejecutar Preparar esquema cuando el uso de red sea bajo.

Si efectúa la implementación con Setup.exe, puede ejecutar el paso Preparar el esquema en cualquier equipo con Windows Server 2003 SP1 o posterior, Windows Server 2003 R2 o posterior o Windows 2000 Server SP4 en el bosque de Active Directory. No obstante, no puede ejecutar Preparar el esquema desde un cliente de Windows XP.

Para preparar el esquema del bosque actual

NotaPreparar el esquema debe tener acceso al maestro de esquema, para lo que es necesario que se esté ejecutando el servicio de Registro remoto y que esté habilitada la clave de Registro remoto. Si el servicio de registro remoto no se puede habilitar en el maestro de esquema, puede ejecutar la preparación de esquema de forma local en el maestro de esquema. Para obtener más información acerca del acceso remoto al Registro, consulte el artículo 314837 de Microsoft Knowledge Base, “How to Manage Remote Access to the Registry” (Cómo administrar el acceso remoto al Registro), en http://r.office.microsoft.com/r/rlidOCS?clid=1033&p1=kb314837.

http://r.office.microsoft.com/r/rlidOCS?clid=1033&p1=kb314837


Referencia de esquema de Active Directory 231. Inicie una sesión en un servidor del bosque con credenciales de administrador de esquema

y credenciales de administrador en el maestro de esquema.2. En el CD o en la carpeta de instalación de Office Communications Server, ejecute Setup.exe

para iniciar la herramienta de implementación. 3. Seleccione una de las siguientes opciones:

Para Standard Edition, haga clic en Servidor Standard Edition.

Para Enterprise Edition, haga clic en Implementar el grupo de servidores Enterprise en una topología consolidada o en Implementar grupo de servidores Enterprise en una topología expandida.


4. Haga clic en Preparar Active Directory.

5. En Preparar el esquema, haga clic en Ejecutar.

6. En la página Asistente para preparar el esquema, haga clic en Siguiente.

7. Siga uno de estos procedimientos:

Haga clic en Opción predeterminada: los archivos de esquema se encuentran en el mismo directorio que el programa de instalación

Haga clic en Examinar y vaya al directorio donde están ubicados los archivos de esquema.

8. Haga clic en Siguiente.

9. En la página Listo para preparar el esquema, revise la configuración actual antes de hacer clic en Siguiente.

10. En la página El Asistente para preparar el esquema se ha completado, haga clic en Ver registro. En la columna Acción, expanda Preparar el esquema. Busque Resultado de ejecución <Correcto> al final de cada tarea a fin de comprobar que el paso Preparar el esquema se ha completado correctamente. Cierre el registro cuando haya terminado.

11. Haga clic en Finalizar.

Espere a que finalice la replicación de Active Directory o fuércela en todos los controladores de dominio que se enumeran en el complemento Sitios y servicios de Active Directory para el controlador del dominio raíz del bosque antes de continuar con el paso Preparar el bosque.

Para comprobar manualmente que el paso Preparar el esquema se ha realizado correctamente y que los cambios del esquema se han replicado en los dominios secundarios1. Inicie una sesión en el controlador de dominio principal como usuario con

credenciales de administrador de organización.

2. Haga clic en Inicio, en Ejecutar y en Examinar, localice Ldp.exe y selecciónelo, haga clic en Abrir y, a continuación, haga clic en Aceptar.


3. En el menú Conexión, haga clic en Conectar y, a continuación, haga clic en Aceptar.

4. En el menú Conexión, haga clic en Enlazar y, a continuación, en Aceptar. De este modo, se usarán las credenciales predeterminadas de administrador de organización.

NotaEl archivo Ldp.exe es una de las diversas herramientas de línea de comandos adicionales que se pueden usar para configurar, administrar y depurar Active Directory. Estas herramientas se conocen colectivamente como Herramientas de soporte y están disponibles en el CD del sistema operativo Windows 2000 Server o Windows Server 2003 en la carpeta \SUPPORT\TOOLS. El archivo se extrae del archivo Support.cab.


5. En el menú Ver, haga clic en Árbol y, a continuación, haga clic en Aceptar.

6. En el árbol de la consola, haga clic en DC=nombre de dominio, haga doble clic en CN=Configuration, DC=nombre de dominio y, a continuación, haga doble clic en CN=Schema, CN=Configuration, DC=nombre de dominio.

7. En el contenedor de esquema, busque CN=ms-RTC-SIP-SchemaVersion. Si este objeto existe y el valor del atributo rangeUpper es 1007, entonces el esquema se ha propagado correctamente. Si este objeto no existe o el valor del atributo rangeUpper no es 1007, el esquema no se ha modificado.

Ejecución del paso Preparar el bosqueEl paso Preparar el bosque requiere que el usuario que ejecuta este procedimiento tenga credenciales de administrador de organización o administrador de dominio para el dominio raíz del bosque.

Para preparar el bosque1. En el CD o en la carpeta de instalación de Office Communications Server, ejecute Setup.exe

para iniciar la herramienta de implementación.

2. Seleccione una de las siguientes opciones:




4. En Preparar el bosque, haga clic en Ejecutar.

5. En la página Asistente para preparar el bosque, haga clic en Siguiente.

ImportanteSi la replicación de Active Directory no ha terminado de replicar los cambios realizados en el paso Preparar el esquema, aparecerá un mensaje de error. Espere a que se realice la replicación o fuércela.


6. En la página Seleccione la ubicación para la configuración global del almacén, seleccione donde desea almacenar la configuración global para la implementación de Office Communications Server. Elija una de las opciones siguientes:

Para almacenar la configuración en la partición de dominio del dominio raíz, haga clic en Contenedor del sistema en dominio raíz (recomendado).

Para almacenar la configuración en la partición de configuración del dominio raíz, haga clic en Partición de configuración.

7. En la página Ubicación de los grupos universales, en Dominio, seleccione el dominio donde desea crear los grupos que usa Office Communications Server y, a continuación, haga clic en Siguiente.

8. En la página Dominio SIP utilizado para el enrutamiento predeterminado, seleccione el dominio SIP que desea usar para el enrutamiento predeterminado. El dominio SIP predeterminado se usa para construir el URI de SIP, que en su forma más simple es [ServerFQDN]@[DefaultSIPDomainFQDN].

En nuevas implementaciones, el dominio raíz se propone siempre como el dominio SIP predeterminado. Para las implementaciones existentes, si no existe ningún dominio SIP predeterminado, todos los dominios SIP existentes aparecen como posibles opciones y el asistente selecciona de forma aleatoria un dominio como el dominio de enrutamiento predeterminado. Si un dominio SIP predeterminado ya existe, el asistente rellena la lista con todos los dominios SIP existentes y selecciona ese dominio SIP predeterminado. En todos los casos anteriores, puede escribir siempre en un nuevo dominio FQDN para el dominio SIP predeterminado o puede usar la lista para seleccionar otro dominio existente como el dominio SIP predeterminado.

NotaSi la conectividad al dominio raíz no es segura, seleccione Partición de configuración ya que la activación de las funciones de servidor requiere acceso al dominio raíz (donde está almacenada la configuración global). El acceso al dominio raíz también es necesario para que el servidor funciones correctamente, a menos que seleccione Partición de configuración.

28 Microsoft® Office Communications Server 2007 Guía de Active Directory9. En la página Listo para preparar el bosque, revise la configuración actual antes de

hacer clic en Siguiente.

10. En la página El Asistente para preparar el bosque se ha completado, haga clic en Ver registro. En la columna Acción, expanda Preparar el bosque. Busque Resultado de ejecución <Correcto> al final de cada tarea a fin de comprobar que el paso Preparar el bosque ha finalizado correctamente. Cierre el registro cuando haya terminado.


Espere a que finalice la replicación de Active Directory o fuércela en todos los controladores de dominio que se enumeran en el complemento Sitios y servicios de Active Directory para el controlador del dominio raíz del bosque antes de ejecutar el paso Preparar el dominio.


Ejecución del paso Preparar el dominioEl paso Preparar el dominio se puede ejecutar en cualquier equipo en el dominio donde esté implementando Office Communications Server. Debe preparar cualquier dominio que hospede Office Communications Servers o usuarios.

Para preparar el dominio con Setup.exe1. Inicie una sesión en cualquier servidor del dominio con credenciales de administrador

de dominio.

2. En el CD o en la carpeta de instalación de Office Communications Server, ejecute Setup.exe para iniciar la herramienta de implementación.





5. En Preparar dominio actual, haga clic en Ejecutar.

6. En la página Asistente para preparar dominios, haga clic en Siguiente.

7. En Información de preparación de dominio, revise la información y, a continuación, haga clic en Siguiente.

8. En la página Listo para preparar el dominio, revise la configuración actual antes de hacer clic en Siguiente.

NotaSi la herencia de los permisos está deshabilitada o los permisos del usuario autenticado están deshabilitados en su organización, hay pasos adicionales que debe realizar durante el paso Preparar el dominio. Para obtener más información, consulte la sección Apéndice A: cómo preparar Active Directory bloqueado, al final de esta guía.

30 Microsoft® Office Communications Server 2007 Guía de Active Directory9. En la página El Asistente para preparar dominios se ha completado, haga clic en

Ver registro. En la columna Acción, expanda Preparar el dominio. Busque Resultado de ejecución <Correcto> al final de cada tarea a fin de comprobar que el paso Preparar el dominio ha finalizado correctamente. Cierre la ventana de registro cuando haya terminado.


Espere a que finalice la replicación de Active Directory o fuércela en todos los controladores de dominio que se enumeran en el complemento Sitios y servicios de Active Directory para el controlador del dominio raíz del bosque.


Preparar Active Directory mediante la línea de comandos

Si va a implementar Active Directory en un entorno más complejo o desea ejecutar estos pasos de preparación de forma remota, use los pasos de la línea de comandos que se indican en esta sección. Para obtener más información acerca de los parámetros de línea de comandos, consulte Office Communications Server 2007 Command-Line Reference Guide (Guía de Referencia de línea de comandos de Office Communications Server 2007).

Para la preparación de Active Directory desde el símbolo del sistema se usa LcsCmd.exe, disponible en los CD de Standard Edition y Enterprise Edition.

En todos los procedimientos indicados en esta sección, use los siguientes pasos para abrir un símbolo del sistema:

▪ Haga clic en Inicio y en Ejecutar, escriba cmd y, a continuación, presione ENTRAR.

Ejecución del comando SchemaPrepAntes de comenzar, puede revisar todas las extensiones de Active Directory que se van a modificar para Office Communications Server 2007 con un editor de texto como el Bloc de notas de Windows. El archivo Schema.ldf se encuentra en la carpeta \Setup\I386 del CD.

Las extensiones del esquema de Office Communications Server se replican en todos los dominios secundarios, lo que afecta al ancho de banda de la red. Debe ejecutar el comando SchemaPrep cuando el uso de la red sea bajo.

Use el siguiente procedimiento para ejecutar el paso Preparar el esquema desde la línea de comandos.

Para preparar el esquema del bosque actual1. Inicie una sesión en un equipo del dominio de Active Directory con credenciales de

administrador de esquema y credenciales de administrador en el maestro de esquema.

2. Ejecute:

LcsCmd.exe /forest /action:SchemaPrep [/ldf: <carpeta donde está ubicado el archivo .ldf>]

Por ejemplo:

LcsCmd.exe /forest /action:SchemaPrep

NotaEl comando SchemaPrep debe tener acceso al maestro de esquema, para lo que es necesario que se esté ejecutando el servicio de Registro remoto y que esté habilitada la clave de Registro remoto. Para obtener más información acerca del acceso remoto al Registro, consulte el artículo 314837 de Microsoft Knowledge Base, “How to Manage Remote Access to the Registry” (Cómo administrar el acceso remoto al Registro), en http://support.microsoft.com/kb/314837/es.



3. Use el siguiente comando para comprobar que el paso Preparar el esquema se ha completado correctamente:

LcsCmd.exe /forest /action:CheckSchemaPrepState

Por ejemplo:

LcsCmd.exe /forest /action:CheckSchemaPrepState

Para comprobar manualmente que el paso Preparar el esquema se ha realizado correctamente y que los cambios del esquema se han replicado en los dominios secundarios1. Inicie una sesión en el controlador de dominio principal como usuario con

credenciales de administrador de organización.

2. Haga clic en Inicio, en Ejecutar y en Examinar, busque Ldp.exe y selecciónelo, haga clic en Abrir y, a continuación, haga clic en Aceptar.

NotaEspere a que se realice la replicación antes de continuar con el paso Preparar el bosque. Puede permitir el tiempo de replicación predeterminado de Windows o puede forzar la replicación.

NotaEl archivo Ldp.exe es una de las diversas herramientas de línea de comandos adicionales que se pueden usar para configurar, administrar y depurar Active Directory. Estas herramientas se conocen colectivamente como Herramientas de soporte y están disponibles en el CD del sistema operativo Windows 2000 Server o Windows Server 2003 en la carpeta \SUPPORT\TOOLS. El archivo se extrae del archivo Support.cab.

Referencia de esquema de Active Directory 333. En el menú Conexión, haga clic en Conectar y, a continuación, haga clic en

Aceptar.

4. En el menú Conexión, haga clic en Enlazar y, a continuación, en Aceptar. De este modo, se usarán las credenciales predeterminadas de administrador de organización.

5. En el menú Ver, haga clic en Árbol y, a continuación, haga clic en Aceptar.

6. En el árbol de la consola, haga clic en DC=nombre de dominio, haga doble clic en CN=Configuration, DC=nombre de dominio y, a continuación, haga doble clic en CN=Schema, CN=Configuration, DC=nombre de dominio.

7. En el contenedor de esquema, busque CN=ms-RTC-SIP-SchemaVersion. Si este objeto existe y el valor del atributo rangeUpper es 1007, entonces el esquema se ha propagado correctamente. Si este objeto no existe o el valor del atributo rangeUpper no es 1007, el esquema no se ha modificado.


Ejecución del comando ForestPrepEl comando ForestPrep requiere que el usuario que ejecuta este procedimiento tenga credenciales de administrador de organización o administrador de dominio para el dominio raíz del bosque.

Use el siguiente procedimiento para ejecutar el comando ForestPrep:

Para preparar el bosque mediante la línea de comandos1. Inicie una sesión en un equipo de la organización que esté unido a un dominio. El

usuario debe tener las credenciales administrativas pertinentes.

2. Ejecute:

LcsCmd.exe /forest /action:ForestPrep / global:[system|configuration] ] [/groupdomain:<FQDN of the domain to create the universal groups in>]

Donde /global especifica donde desea crear la configuración global.

Si no especifica el parámetro /groupdomain, este valor tiene como valor predeterminado el dominio local.

Por ejemplo:

LcsCmd.exe /forest /action:ForestPrep /global:system

Para comprobar que el comando ForestPrep se ha ejecutado correctamente1. Inicie una sesión en un equipo de la organización que participe en un dominio y en el

que el usuario debe tener las credenciales administrativas pertinentes.

2. Ejecute:

NotaSi la conectividad al dominio raíz no es segura, seleccione Partición de configuración ya que la activación de las funciones de servidor requiere acceso al dominio raíz (donde está almacenada la configuración global). El acceso al dominio raíz también es necesario para que el servidor funciones correctamente, a menos que seleccione Partición de configuración.


LcsCmd.exe /forest /action:CheckForestPrepState

Ejecución del comando DomainPrepUse el siguiente procedimiento para ejecutar el comando DomainPrep:


Para preparar el dominio mediante la línea de comandos1. Inicie una sesión en un servidor con credenciales de administrador de dominio

en el dominio donde desea implementar Office Communications Server 2007.

2. Ejecute:

LcsCmd.exe /domain[:<DomainFQDN>] /action:DomainPrep

Por ejemplo, si corp.woodgrovebank.com es el dominio que va a preparar para Office Communications Server 2007, use el siguiente comando:

LcsCmd.exe /domain:corp.woodgrovebank.com /action:DomainPrep

3. Compruebe que el comando DomainPrep se ha ejecutado correctamente mediante el procedimiento de LcsCmd.exe:

LcsCmd.exe /domain[:<domainFQDN>] /action: CheckDomainPrepState

4. Por ejemplo, si corp.woodgrovebank.com es el dominio del que desea comprobar que el comando DomainPrep se ha ejecutado correctamente, use el siguiente comando:

LcsCmd.exe /domain:corp.woodgrovebank.com /action:CheckDomainPrepState

Delegación de la configuración y la administración

En Office Communications Server 2007, puede delegar los permisos para realizar tareas de configuración o administración a un grupo de usuarios que no sean miembros de un grupo autorizado de Active Directory. La acción de delegar resulta útil en situaciones donde desea

NotaSi la herencia de los permisos está deshabilitada o los permisos del usuario autenticado están deshabilitados en su organización, hay pasos adicionales que debe realizar durante el paso Preparar el dominio. Para obtener más información, consulte la sección Apéndice A: cómo preparar Active Directory bloqueado, al final de esta guía.

NotaEl uso de /domain sin el valor del parámetro establece el dominio local de forma predeterminada.

Referencia de esquema de Active Directory 37que los usuarios que no son miembros del grupo de administradores de dominio puedan activar servidores de Office Communications Server después de haber instalado los servidores.

Puede delegar la configuración y la administración de las maneras siguientes:

Para delegar los permisos de configuración, puede usar el asistente de la herramienta de implementación o la herramienta de la línea de comandos LcsCmd.exe.

Para delegar la administración, debe usar LcsCmd.exe en los siguientes casos:

Delegar la administración de servidores

Delegar la administración de usuarios


Delegar la administración de usuarios de sólo lectura

Delegar la administración de servidores de sólo lectura

Caso 1: Delegar la configuración (instalación y

activación)Puede delegar los permisos para implementar servidores de Office Communications Server mediante el asistente de la herramienta de implementación o la línea de comandos. Puede delegar la configuración para permitir que los usuarios que no son miembros del grupo Administradores de dominio instalen y activen servidores que ejecutan Office Communications Server. Algunas organizaciones no desean otorgar pertenencia en el grupo de Administradores de dominio a usuarios o grupos que están implementando Office Communications Server. La delegación de configuración le permite conceder a estos usuarios o grupos el subconjunto de permisos necesarios para la configuración de Office Communications Server.

Uso de la herramienta de implementación para delegar permisos

Puede usar la herramienta de implementación de Office Communications Server para delegar permiso para que un grupo de usuarios active servidores después de haber instalado Office Communications Server.

ImportanteDebe especificar un grupo global o universal ya existente cuando delegue la configuración o la administración. No puede usar un grupo local y este grupo debe existir.


Para delegar tareas de configuración1. Inicie sesión en un equipo en el dominio donde desea delegar los permisos con una

cuenta que sea miembro del grupo Administradores de dominio o tenga credenciales equivalentes.

2. En el CD o en la carpeta de instalación de Office Communications Server, ejecute Setup.exe para iniciar la herramienta de implementación.




NotaAunque el proceso descrito en esta sección delega permisos de configuración, cualquier usuario del grupo de confianza también debe ser miembro del grupo de Administradores locales en un equipo para instalar y activar Office Communications Server en dicho equipo. Para los casos de instalación y activación de Enterprise Edition, el grupo de confianza debe ser también miembro del grupo de Administradores locales en el equipo que ejecuta la base de datos back-end de SQL Server.



5. Haga clic en Delegar la configuración y administración.

6. En Delegar tareas de configuración, haga clic en Ejecutar.

7. En la página de bienvenida, haga clic en Siguiente.

8. En la página Autorizar al grupo, en Seleccionar dominio de confianza, especifique el dominio que contiene el grupo al que desea delegar permisos.

9. En Nombre del grupo existente, escriba el nombre del grupo al que desea delegar permisos y, a continuación, haga clic en Siguiente. Este grupo debe ser un grupo universal o un grupo local. No puede ser un grupo local de dominio.

10. En la página Ubicación de los objetos del equipo para la implementación, escriba el nombre distintivo (DN) de la unidad organizativa o contenedor que hospeda los objetos del equipo en que se implementará Office Communications Server.

11. En la página Cuenta de servicio, escriba la cuenta de servicio SIP y la cuenta de servicio de componentes que va a usar Office Communications Server.

12. En la página Listo para configurar la delegación, revise la configuración y, a continuación, haga clic en Siguiente.

13. Una vez completado el asistente, haga clic en Finalizar.

14. Agregue el nuevo grupo de confianza al grupo de Administradores locales de cada servidor donde desea instalar Office Communications Server y el servidor de base de datos back-end de los grupos de servidores Enterprise.

15. Si se han quitado, en su organización, los permisos del grupo de seguridad de usuarios autenticados de Active Directory, debe agregar el nuevo grupo de confianza para tareas de configuración a RTCUniversalServerAdmins o conceder manualmente permisos de lectura al grupo de confianza a los siguientes contenedores de la raíz del bosque:

NotaPuede utilizar la herramienta ADSIEdit para desplazarse hasta las propiedades del grupo y copiar y, a continuación, pegar el nombre distintivo (DN) del grupo en el asistente.

Referencia de esquema de Active Directory 41 Dominio raíz del bosque

Dominio raíz del bosque del contenedor System

Raíz del dominio donde se delegan los permisos

Contenedores principales de objetos del equipo y objetos de la cuenta de servicio


16. Desde un símbolo del sistema, escriba whoami.exe /todos para comprobar que el usuario tiene los permisos adecuados. El resultado debería ser similar a lo siguiente:

Everyone Well-known group S-1-1-0 BUILTIN\Administrators Alias S-1-5-32-544 BUILTIN\Users Alias S-1-5-32-545 NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 NT AUTHORITY\Authenticated Users Well-known group S-1-5-11NT AUTHORITY\This Organization Well-known group S-1-5-15 LOCAL Well-known group S-1-2-0 FABRIKAM\RTCUniversalUserReadOnlyGroup Group S-1-5-21-4264192570- FABRIKAM\RTCUniversalGlobalWriteGroup Group S-1-5-21-4264192570- FABRIKAM\RTCUniversalGlobalReadOnlyGroup S-1-5-21-4264192570- FABRIKAM\RTCUniversalServerReadOnlyGroup S-1-5-21-4264192570- FABRIKAM\delegatedLSSetup Group S-1-5-21-4264192570- FABRIKAM\RTCUniversalServerAdmins Group S-1-5-21-4264192570- FABRIKAM\CERTSVC_DCOM_ACCESS Alias S-1-5-21-4264192570-

Uso de la línea de comandos para delegar tareas de configuración

Use el siguiente procedimiento para delegar tareas de configuración mediante la línea de comandos.

Para delegar tareas de configuración e implementación1. Inicie sesión en un equipo que ejecute Office Communications Server en el dominio

donde desea delegar los permisos con una cuenta que sea miembro del grupo Administradores de dominio o tenga credenciales equivalentes.

2. Use el siguiente comando:

LCSCmd.exe /Domain[:<domain FQDN>] /Action:CreateDelegation /Delegation:SetupAdmin /TrusteeGroup:<name of the universal group that you will delegate to> /TrusteeDomain:<FQDN of the domain where the trustee group resides>/ServiceAccount:<RTC service account name>/ComponentServiceAccount:<RTC component service account name>/ComputerOU:<DN of the OU or container where the computer objects that will run Office Communications Server reside>

Dónde:

TrusteeGroup es el grupo al que está concediendo los permisos.TrusteeDomain es el dominio en el que reside el grupo de administradores de confianza.ServiceAccount es el nombre de cuenta de servicio RTC.ComponentServiceAccount es el nombre de cuenta de servicio de componente RTC.ComputerOU especifica el nombre distintivo (DN) de la unidad organizativa que contiene los equipos en los que el grupo de confianza puede ejecutar las tareas de configuración de Office Communications Server.


3. Agregue el nuevo grupo de confianza al grupo de Administradores locales de cada equipo donde desea instalar Office Communications Server y el equipo que ejecuta el servidor de base de datos back-end de SQL Server de los grupos de servidores Enterprise.

4. Si se han quitado, en su organización, los permisos del grupo de seguridad de usuarios autenticados de Active Directory, debe agregar el nuevo grupo de confianza para tareas de configuración a RTCUniversalServerAdmins o conceder manualmente permisos de lectura al grupo de confianza a los siguientes contenedores de la raíz del bosque:

Dominio raíz del bosque

Dominio raíz del bosque del contenedor System

Raíz del dominio donde se delegan los permisos

Contenedores principales de objetos del equipo y objetos de la cuenta de servicio

5. Desde un símbolo del sistema, escriba whoami.exe /todos para comprobar que el usuario tiene los permisos adecuados. El resultado debería ser similar a lo siguiente:

Everyone Well-known group S-1-1-0 BUILTIN\Administrators Alias S-1-5-32-544 BUILTIN\Users Alias S-1-5-32-545 NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 NT AUTHORITY\Authenticated Users Well-known group S-1-5-11NT AUTHORITY\This Organization Well-known group S-1-5-15LOCAL Well-known group S-1-2-0 FABRIKAM\RTCUniversalUserReadOnlyGroup Group S-1-5-21-4264192570- FABRIKAM\RTCUniversalGlobalWriteGroup Group S-1-5-21-4264192570- FABRIKAM\RTCUniversalGlobalReadOnlyGroup S-1-5-21-4264192570- FABRIKAM\RTCUniversalServerReadOnlyGroup S-1-5-21-4264192570- FABRIKAM\delegatedLSSetup Group S-1-5-21-4264192570- FABRIKAM\RTCUniversalServerAdmins Group S-1-5-21-4264192570- FABRIKAM\CERTSVC_DCOM_ACCESS Alias S-1-5-21-4264192570-

Caso 2: Delegar la administración del servidorPara administrar Office Communications Server Standard Edition o Enterprise Edition, un usuario debe tener una cuenta en el grupo Administradores de dominio o en el grupo RTCUniversalServerAdmins. Algunas organizaciones no desean otorgar pertenencia en el grupo de Administradores de dominio a usuarios o grupos que sólo necesitan administrar servidores de Office Communications Server. Aunque puede elegir agregar usuarios o grupos no autorizados al grupo RTCUniversalServerAdmins, el grupo RTCUniversalServerAdmins es un grupo universal que puede administrar a todos los servidores del bosque. La delegación de administración de servidores le permite conceder a un usuario o grupo el subconjunto de permisos requeridos para administrar un servidor Office Communications Server específico.


Al delegar la administración del servidor, se conceden los siguientes permisos:

Permiso de lectura y escritura a la configuración global

Permiso de lectura y escritura a un contenedor de unidad organizativa de equipo

Permiso de lectura opcional a un contenedor de unidad organizativa de usuario

Para delegar la administración del servidor1. Inicie sesión en un equipo en el dominio donde desea delegar los permisos con una

cuenta que sea miembro de los grupos RTCUniversalServerAdmins y Administradores de dominio o tenga credenciales equivalentes.


LcsCmd /Domain[:<domain FQDN>] /Action:CreateDelegation /Delegation:ServerAdmin /TrusteeGroup:<name of the universal group that you will delegate to>/TrusteeDomain: <FQDN of the domain where the trustee group resides>/ServiceAccount:<RTC service account name>/ComponentServiceAccount:<RTC component service account name>/ComputerOU:<DN of the OU or container where the computer objects that run Office Communications Server reside>/PoolName:<Name of an Enterprise pool or Standard Edition server>[/ExtraServers:<FQDN of server1, FQDN of server2>]

Dónde:

TrusteeGroup es el grupo al que está concediendo los permisos.

TrusteeDomain es el dominio en el que reside el grupo de administradores de confianza.

ServiceAccount es el nombre de cuenta de servicio RTC.

ComponentServiceAccount es el nombre de cuenta de servicio de componente RTC.

ComputerOU especifica el nombre distintivo (DN) de la unidad organizativa que contiene el equipo que ejecuta el servidor al que está concediendo los permisos administrativos.

ImportanteDebe especificar el grupo global o universal existente al que desea delegar los permisos. No puede utilizar un grupo local.

Referencia de esquema de Active Directory 45PoolName especifica el nombre del servidor Standard Edition o del grupo de servidores Enterprise en el que el grupo de confianza puede administrar servidores; agrega el grupo de confianza al grupo de Administradores locales de cada equipo del grupo de servidores a la función AdminRole de la base de datos RTC y a la función ReadWriteRole de la base de datos RTCConfig en el servidor de base de datos back-end de SQL Server.

ExtraServers especifica una lista separadas por comas de los FQDN de los equipos que no forman parte de un grupo de servidores para los que el grupo de confianza requiere acceso. Puede escribir el FQDN de Servidores de archivado y CDR, Servidores de mediación o el FQDN interno de servidores perimetrales.


Caso 3: Delegar la administración de usuariosPara administrar usuarios de Office Communications Server, un usuario debe tener una cuenta en el grupo Administradores de dominio o en el grupo RTCUniversalUserAdmins. Algunas organizaciones no desean otorgar pertenencia en el grupo de Administradores de dominio a usuarios o grupos que sólo necesitan administrar usuarios de Office Communications Server. Aunque puede elegir agregar usuarios o grupos no autorizados al grupo RTCUniversalUserAdmins, el grupo RTCUniversalUserAdmins es un grupo universal que puede administrar a todos los usuarios del bosque. La delegación de administración de usuarios le permite conceder a un usuario o grupo el subconjunto de permisos requeridos para administrar un conjunto específico de usuarios de Office Communications Server.

Al delegar la administración del usuario, se conceden los siguientes permisos:

Permisos de lectura a la configuración global.

Permisos de lectura a una unidad organizativa (OU) de equipo.

Permiso de lectura y escritura a una unidad organizativa de usuario.

Suscripción en el grupo RTC Local User Administrators en todos los servidores de un grupo específico de servidores.

Permisos ReadOnlyRole en el grupo de servidores o servidor RTC y en bases de datos RTCConfig.

Para delegar la administración de usuarios1. Inicie sesión en un equipo en el dominio donde desea delegar los permisos con una cuenta

que sea miembro del grupo Administradores de dominio o tenga credenciales equivalentes.2. Use el siguiente comando:

LcsCmd.exe /Domain[:<domain FQDN>] /Action:CreateDelegation /Delegation:UserAdmin /TrusteeGroup:<name of the universal group that you will delegate to>/TrusteeDomain:<FQDN of the domain where the trustee group resides>/ServiceAccount:<RTC service account name>/ComponentServiceAccount:<RTC component service account name>/ComputerOU:<DN of the OU or container where the computer objects that run Office Communications Server reside>/UserOU:<DN of the OU or container where the Office Communications Server user objects reside>/UserType:{User | Contact | InetOrgPerson}/PoolName:<Name of a Standard Edition server or an Enterprise pool>

Dónde:


TrusteeDomain es el dominio en el que está concediendo los permisos.




ComputerOU especifica el nombre distintivo (DN) de la unidad organizativa que contiene el servidor cliente de Office Communications Server que hospeda a los usuarios que administrará el grupo de confianza.

UserOU especifica el nombre distintivo (DN) de la unidad organizativa que contiene los usuarios que administrará el grupo de confianza.

UserType especifica el tipo de objeto de usuario para los que tendrá permisos de administración el grupo de confianza. Los valores válidos son User, Contact o InetOrgPerson.

PoolName especifica el nombre del servidor Standard Edition o del grupo de servidores Enterprise en el que el grupo de confianza puede administrar usuarios y agrega el grupo de confianza al grupo de Administradores locales de cada equipo del grupo de servidores y a la función ReadOnlyRole de las bases de datos back-end de SQL Server.

Caso 4: Delegar la administración del servidor de sólo lectura

Para administrar servidores de Office Communications Server en una capacidad de sólo lectura, un usuario debe tener una cuenta en el grupo Administradores de dominio o en el grupo RTCUniversalReadOnlyAdmins. Algunas organizaciones no desean otorgar pertenencia en el grupo de Administradores de dominio a usuarios o grupos que sólo necesitan ver las propiedades de los servidores de Office Communications Server. Aunque puede elegir agregar usuarios o grupos no autorizados al grupo RTCUniversalReadOnlyAdmins o al grupo RTCUniversalServerReadOnlyGroupes, estos grupos universales tienen permisos de administración de solo lectura para todos los servidores del bosque. La delegación de administración de servidores de solo lectura le permite conceder a un usuario o grupo el subconjunto de permisos requeridos para llevar a cabo la administración de solo lectura para un servidor Office Communications Server específico.

La pertenencia en un grupo de administración de servidores de solo lectura puede ser útil para solucionar los problemas de los servidores en un servidor concreto.

Al delegar la administración del servidor de solo lectura, se conceden los siguientes permisos:

Permiso de lectura a la configuración global.

Permiso de lectura a una unidad organizativa (OU) de equipo especificada.

Pertenencia en el grupo “RTC Local Read-Only Administrators” en todos los servidores de un grupo de servidores especificado o en el servidor Standard Edition local.



Para delegar la administración del servidor de sólo lectura

1. Inicie sesión en un equipo en el dominio donde desea conceder los permisos con una cuenta que tenga credenciales RTCUniversalServerAdmins y Domain Admins, o credenciales equivalentes.


LcsCmd /Domain[:<domain FQDN>] /Action:CreateDelegation /Delegation:ReadOnlyAdmin /TrusteeGroup:<name of the universal group that you will delegate to>

/TrusteeDomain:<FQDN of the domain where the trustee group resides> /ServiceAccount:<RTC service account name>/ComponentServiceAccount:<RTC component service account name>/ComputerOU:<DN of the OU or container where the computer objects that run Office Communications Server reside>/PoolName:<Name of a Standard Edition server or an Enterprise pool>[/ExtraServers:<FQDN of server1, FQDN of server2>]

Dónde:





ComputerOU especifica el nombre distintivo (DN) de la unidad organizativa que contiene el equipo que ejecuta el servidor al que está concediendo los permisos administrativos de solo lectura del grupo de confianza.

PoolName especifica el nombre del servidor Standard Edition o del grupo de servidores Enterprise en el que el grupo de confianza puede realizar administración de servidor de solo lectura y agrega el grupo de confianza al grupo de Administradores locales de cada equipo del grupo de servidores y a la función ReadOnlyRole de las bases de datos back-end de SQL Server.

ExtraServers especifica una lista separadas por comas de los FQDN de los equipos a los que el grupo requiere el acceso pero que no forman parte del grupo de servidores. Puede escribir el FQDN de Servidores de archivado y CDR, Servidores de mediación o el FQDN interno de servidores perimetrales.


NotaSi se usa el parámetro /PoolName con LcsCmd no se delegan permisos a los equipos que sirven a cualquiera de las siguientes funciones de Office Communications Server: Servidor de mediación, Servidor de archivado y CDR, Servidor perimetral de acceso o Communicator Web Access Server. Para delegar el permiso de administración de servidor de sólo lectura en estos equipos, debe agregar manualmente el grupo de administradores de confianza al grupo “RTC Local Read-Only Administrators”.


Caso 5: Delegar la administración de usuarios de sólo lectura

Para administrar usuarios de Office Communications Server en una capacidad de solo lectura, un usuario debe tener una cuenta en el grupo Administradores de dominio o en el grupo RTCUniversalReadOnlyAdmins. Algunas organizaciones no desean otorgar pertenencia en el grupo de Administradores de dominio a usuarios o grupos que sólo necesitan ver las propiedades de los usuarios de Office Communications Server. Aunque puede elegir agregar usuarios o grupos no autorizados al grupo RTCUniversalReadOnlyAdmins o al grupo RTCUniversalUserReadOnlyGroup, estos grupos universales tienen permisos de administración de sólo lectura para todos los usuarios del bosque. La delegación de administración de usuarios de sólo lectura le permite conceder a un usuario o grupo el subconjunto de permisos requeridos para llevar a cabo la administración de solo lectura para un conjunto específico de usuarios de Office Communications Server.

La pertenencia en un grupo de administración de usuarios de solo lectura puede ser útil para solucionar los problemas de los usuarios en un servidor concreto.

Al delegar la administración del usuario de solo lectura, se conceden los siguientes permisos:

Permiso de lectura a la configuración global.

Permiso de lectura a una unidad organizativa (OU) de usuario especificada.

Pertenencia en el grupo “RTC Local Read-Only Administrators” en todos los servidores de un grupo de servidores especificado.


Para delegar la administración de usuarios de sólo lectura1. Inicie sesión en un equipo en el dominio donde desea conceder los permisos con una

cuenta que tenga credenciales Domain Admins o credenciales equivalentes.


LcsCmd /Domain[:<domain FQDN>] /Action:CreateDelegation /Delegation:ReadOnlyAdmin

/TrusteeGroup:<name of the universal group that you will delegate to> /TrusteeDomain:<FQDN of the domain where the trustee group resides>/ServiceAccount:<RTC service account name>/ComponentServiceAccount:<RTC component service account name>/ComputerOU:<DN of the OU or container where the computer objects that run Office Communications Server reside>/UserOU:<DN of the OU or container where the Office Communications Server user objects reside>/UserType:<User | Contact | InetOrgPerson>/PoolName:<Name of a Standard Edition server or an Enterprise pool>


Dónde:





ComputerOU especifica el nombre distintivo (DN) de la unidad organizativa que contiene el servidor cliente de Office Communications Server que hospeda a los usuarios que administrará el grupo de confianza.

UserOU especifica el nombre distintivo (DN) de la unidad organizativa que contiene los usuarios que podrá ver el grupo de confianza. Si especifica este parámetro, también deberá especificar el parámetro UserType.

UserType especifica el tipo de objeto de usuario en el que crear, comprobar o quitar las delegaciones. Los valores válidos son User, Contact o InetOrgPerson.

PoolName especifica el nombre del servidor Standard Edition o del grupo de servidores Enterprise que hospeda a los usuarios que podrá ver el grupo de confianza y agrega el grupo de confianza al grupo de Administradores locales de cada equipo del grupo de servidores y a la función ReadOnlyRole de las bases de datos back-end de SQL Server.

Referencia de esquema de Active Directory

El esquema de Active Directory contiene las definiciones formales de todas las clases de objetos que se pueden crear en un bosque de Active Directory. El esquema contiene también las definiciones formales de todos los atributos que puede haber en un objeto de Active Directory. El catálogo global de Active Directory contiene replicaciones de todos los objetos del bosque, así como un subconjunto de los atributos de cada objeto.

Clases de Active DirectoryOffice Communications Server agrega varias clases y atributos nuevos a Active Directory. Todas las clases y atributos de Live Communications Server y de Office Communications Server toman como un prefijo la cadena “msRTCSIP”.

Las nuevas clases incorporadas al esquema de Active Directory en la versión Office Communications Server 2007 están identificadas como “(nueva)”.

msRTCSIP-Archive (nueva)Esta nueva clase auxiliar de msRTCSIP-GlobalContainer contiene toda la configuración relacionada con el archivado.

52 Microsoft® Office Communications Server 2007 Guía de Active DirectorymsRTCSIP-ArchivingServerEsta clase representa un único servidor de archivado de mensajería instantánea. Cuando un equipo se activa como servidor de archivado de mensajería instantánea (por ejemplo, un equipo que tiene instalado el Servicio de archivado de mensajería instantánea), se crea una instancia de esta clase.


msRTCSIP-DomainEsta clase tiene atributos que definen los dominios configurados del registro SIP.

msRTCSIP-EdgeProxyEste contenedor de clases representa un único servidor perimetral de acceso. Dado que un servidor perimetral de acceso se implementa en la red perimetral y los clientes normalmente no permiten el acceso de Active Directory desde la red perimetral, los servidores perimetrales de acceso no participan de la red de Active Directory de la intranet. En consecuencia, los servidores proxy de acceso no se registran automáticamente en Active Directory. El administrador debe configurar manualmente la existencia de cada uno de los servidores perimetrales de acceso en Active Directory.

msRTCSIP-EnterpriseMCUSettings (nueva)Esta clase auxiliar de msRTCSIP-MCU contiene los atributos que representan la configuración de los servidores de conferencia.

msRTCSIP-EnterpriseMediationServerSettings (nueva)Esta clase auxiliar de msRTCSIP-MediationServer contiene los atributos que representan la configuración de los servidores de mediación.

msRTCSIP-EnterpriseServerSettingsEsta clase auxiliar de msRTCSIP-Server contiene los atributos que representan la configuración de los servidores SIP.

msRTCSIP-Federation Esta nueva clase auxiliar de msRTCSIP-GlobalContainer contiene toda la configuración relacionada con la federación.

msRTCSIP-GlobalContainerEsta clase contiene toda la configuración que se aplica en una implementación de Office Communications Server.

msRTCSIP-GlobalUserPolicy (nueva)Esta clase representa una única directiva de reunión de Office Communications Server 2007.

msRTCSIP-LocationProfile (Office Communications Server)Esta clase es un contenedor que representa un perfil de ubicación concreto.

msRTCSIP-LocationProfiles (Office Communications Server)Esta clase es un contenedor para varios perfiles de ubicación y no contiene ningún atributo propio.

msRTCSIP-LocalNormalization (Office Communications Server)Esta clase es un contenedor que representa una instancia de una regla de normalización de ubicación.

msRTCSIP-LocalNormalizations (Office Communications Server)Esta clase es un contenedor para varias reglas de normalización local y no contiene ningún atributo propio.


msRTCSIP-MCU (nueva)Esta clase representa un único servidor de conferencia.

msRTCSIP-MCUFactories (nueva)Esta clase contiene varias clases msRTCSIP-MCUFactory y no tiene atributos propios.

msRTCSIP-MCUFactory (nueva)Esta clase es un contenedor que representa una fábrica de MCU para un tipo medio único. Se crea una instancia de esta clase cuando se activa el primer MCU para este tipo y proveedor.

msRTCSIP-MCUFactoryService (nueva)Esta clase proporciona una asociación de un grupo de servidores concreto a su fábrica de MCU.

msRTCSIP-MediationServer (nueva)Esta clase contiene la entrada para el punto de conexión de servicio de un servidor de mediación.

msRTCSIP-Meeting (nueva)Esta clase auxiliar de msRTCSIP-GlobalContainer contiene atributos que representan la configuración de reunión que se puede configurar.

msRTCSIP-PhoneRoute (Office Communications Server 2007)Esta clase es un contenedor que representa una instancia de una ruta de costo menor a una puerta de enlace o conjunto de puertas de enlace. Todos los grupos de servidores Enterprise o servidores que ejecutan Standard Edition usan esta información para enrutar las llamadas enviadas a la red RTC de la manera más rentable.

msRTCSIP-PhoneRoutes (Office Communications Server 2007)Esta clase es un contenedor para varias rutas de costo menor y no contiene ningún atributo propio.

msRTCSIP-Policies (nueva)Esta clase contiene varias clases de directiva de Office Communications Server y no tiene ningún atributo propio.

msRTCSIP-Pool Esta clase representa un único grupo de servidores de Office Communications Server.

msRTCSIP-Pools Esta clase contiene varios grupos de servidores Office Communications Server y no tiene ningún atributo propio.

msRTCSIP-PoolService Esta clase representa el punto de conexión de servicio de un grupo de servidores. El atributo msRTCSIP-PrimaryHomeServer de los usuarios hospedados en un grupo de servidores señala a una instancia de esta clase.

msRTCSIP-RegistrarEsta clase auxiliar de msRTCSIP-GlobalContainer contiene los atributos que representan la configuración de usuario que mantienen los servidores de registro SIP.


msRTCSIP-RouteUsage (Office Communications Server 2007)Esta clase es un contenedor que representa una instancia de un uso de la ruta del teléfono. El uso de la clase del teléfono está compuesto de un campo de atributo y de un campo de descripción. El campo de atributo define un tipo de uso. El campo de descripción permite a los administradores describir el uso para este atributo en la ruta del teléfono.

msRTCSIP-RouteUsages (Office Communications Server 2007)Esta clase contiene varias instancias de la clase ms-RTC-SIPRouteUsage y no tiene ningún atributo propio.

msRTCSIP-SearchEsta clase auxiliar de msRTCSIP-GlobalContainer contiene los atributos que limitan y controlan el alcance de los resultados de la búsqueda.

msRTCSIP-ServerEsta clase representa un único servidor SIP.

msRTCSIP-ServiceEsta clase contiene el contenedor de configuración global y los objetos msRTCSIP-domain.

msRTCSIP-TrustedMCU (nueva)Esta clase tiene atributos que identifican si un servidor de conferencia es un servidor es de confianza.

msRTCSIP-TrustedMCUs (nueva)Esta clase contiene varias instancias de Office Communications Server de la clase msRTCSIP TrustedMCU y no tiene ningún atributo propio.

msRTCSIP-TrustedProxies (nueva)Esta clase contiene varias clases msRTCSIP-TrustedProxy y no contiene ningún atributo propio.

msRTCSIP-TrustedProxy (nueva)Esta clase es un contenedor que representa un servidor que ejecuta el servidor proxy. Se crea una instancia de esta clase al activar un nuevo servidor proxy en un equipo unido a Active Directory.

msRTCSIP-TrustedServerEsta clase tiene atributos que identifican si el servidor es de confianza.

msRTCSIP-TrustedService (nueva)Esta clase es un contenedor que representa un servidor de confianza que es enrutable mediante una dirección de GRUU. Se crea una instancia de esta clase al activar un nuevo servidor SIP en el que confía Office Communications Server. Este servidor de confianza debe participar de un dominio de Active Directory.

msRTCSIP-TrustedServices (nueva)Esta clase es un contenedor para varios servidores URI de agentes de usuario enrutables globalmente (GRUU) y no contiene ningún atributo propio.


msRTCSIP-TrustedWebComponent sServer (nueva)Esta clase contiene atributos que identifican si un componente web es un componente de confianza.

msRTCSIP-TrustedWebComponentsServers (nueva)Esta clase contiene varias instancias de Office Communications Server de la clase msRTCSIP-TrustedWebComponentServer y no tiene ningún atributo propio.

msRTCSIP-UnifiedCommunications (nueva)Esta clase auxiliar de msRTCSIP-GlobalContainer contiene atributos relacionados con las comunicaciones unificadas.

msRTCSIP-WebComponents (nueva)Esta clase contiene el punto de conexión de servicio para Internet Information Services (IIS).

msRTCSIP-WebComponentsService (nueva)Esta clase proporciona una asociación de un grupo de servidores concreto a los componentes web que el grupo de servidores usará.

msRTCSIP-WebComponentSettings (nueva)Esta clase auxiliar de msRTCSIP-WebComponent contiene los atributos que representan la configuración de los componentes web.

Atributos de Active DirectoryEn la siguiente lista se muestran todos los atributos y las clases asociadas de Office Communications Server incluidos los atributos nuevos y obsoletos. Un atributo asociado a más clases se identifica como “(agregado)”. Los atributos marcados con un asterisco (*) se reservan para usarlos en caso de emergencia para agregar los nuevos atributos como pares de nombre y valor en el atributo de la extensión, sin requerir otra extensión de esquema. Los atributos que fueron nuevos en Microsoft Office Live Communications Server 2005 o en Live Communications Server 2005 con SP1 están marcados con “(Live Communications Server 2005)” o “(Live Communications Server 2005 con SP1)”. Los atributos que son nuevos en Office Communications Server están en negrita y marcados con “(Office Communications Server 2007)”.

UsuariomsRTCSIP-PrimaryUserAddress

msRTCSIP-HomeServer (obsoleto)

msRTCSIP-HomeServerString (obsoleto)

msRTCSIP-UserEnabled

msRTCSIP-IsMaster (obsoleto)

msRTCSIP-TargetHomeServer

msRTCSIP-OriginatorSID

msRTCSIP-PrimaryHomeServer


msRTCSIP-FederationEnabled (Live Communications Server 2005)

msRTCSIP-InternetAccessEnabled (Live Communications Server 2005)

msRTCSIP-ArchivingEnabled (Live Communications Server 2005)

msRTCSIP-OptionFlags (Live Communications Server 2005 con SP1)

msRTCSIP-Line (Live Communications Server 2005 con SP1)

msRTCSIP-LineServer (Live Communications Server 2005 con SP1)

msRTCSIP-UserPolicy (Office Communications Server 2007)

msRTCSIP-UserExtension * (Live Communications Server 2005 con SP1)

TelephoneNumber (Windows 2000)

ProxyAddresses (Windows 2000)

ContactomsRTCSIP-PrimaryUserAddress

msRTCSIP-HomeServerString (obsoleto)

msRTCSIP-UserEnabled

msRTCSIP-OriginatorSID

msRTCSIP-PrimaryHomeServer (Live Communications Server 2005)

msRTCSIP-TargetHomeServer (Live Communications Server 2005)

msRTCSIP-FederationEnabled (Live Communications Server 2005)

msRTCSIP-InternetAccessEnabled (Live Communications Server 2005)

msRTCSIP-ArchivingEnabled (Live Communications Server 2005)

msRTCSIP-OptionFlags (Live Communications Server 2005 con SP1)

msRTCSIP-Line (Live Communications Server 2005 con SP1)

msRTCSIP-LineServer (Live Communications Server 2005 con SP1)

msRTCSIP-UserPolicy (Office Communications Server 2007)

msRTCSIP-UserExtension * (Live Communications Server 2005 con SP1)

msRTCSIP-SourceObjectType (Office Communications Server 2007)

msDS-SourceObjectDN (Office Communications Server 2007)

TelephoneNumber (Windows 2000)

PhoneOfficeOther (Windows 2000)

ProxyAddresses (Windows 2000)


EquiposserviceConnectionPoint

msRTCSIP-Server

msRTCSIP-EnterpriseServerSettings

msRTCSIP-EnterpriseServices

msRTCSIP-HomeUsers (obsoleto)

msRTCSIP-PoolAddress (Live Communications Server 2005)

msRTCSIP-ServerVersion (Office Communications Server 2007)

msRTCSIP-ServerData *

serviceConnectionPointmsRTCSIP-MCU (Office Communications Server 2007)

msRTCSIP-EnterpriseMCUSettings (Office Communications Server 2007)

msRTCSIP-MCUFactoryAddress (Office Communications Server 2007)


msRTCSIP-MCUData * (Office Communications Server 2007)

serviceConnectionPointmsRTCSIP-WebComponents (Office Communications Server 2007)

msRTCSIP-EnterpriseWebComponentsSettings (Office Communications Server 2007)

msRTCSIP-WebComponentsPoolAddress (Office Communications Server 2007)


msRTCSIP-WebComponentsData * (Office Communications Server 2007)

serviceConnectionPointmsRTCSIP-MediationServer (Office Communications Server 2007)

msRTCSIP-EnterpriseMediationServerSettings (Office Communications Server 2007)

msRTCSIP-TrustedServiceLinks (UC)

msRTCSIP-DefaultLocationProfileLink (UC)

msRTCSIP-ServerVersion (UC)

msRTCSIP-ExtensionData * (UC)


msRTCSIP-ServicemsRTCSIP-GlobalContainer

msRTCSIP-Registrar

msRTCSIP-Search

msRTCSIP-Federation

msRTCSIP-Registrar

msRTCSIP-MinRegistrationTimeout

msRTCSIP-DefRegistrationTimeout

msRTCSIP-MaxRegistrationTimeout

msRTCSIP-MinPresenceSubscriptionTimeout

msRTCSIP-DefPresenceSubscriptionTimeout

msRTCSIP-MaxPresenceSubscriptionTimeout

msRTCSIP-MinRoamingDataSubscriptionTimeout

msRTCSIP-DefRoamingDataSubscriptionTimeout

msRTCSIP-MaxRoamingDataSubscriptionTimeout

msRTCSIP-SubscriptionAuthRequired (obsoleto)

msRTCSIP-NumDevicesPerUser

msRTCSIP-MaxNumSubscriptionsPerUser

msRTCSIP-EnableBestEffortNotify (Live Communications Server 2005)

msRTCSIP-UserDomainList (Live Communications Server 2005)

msRTCSIP-GlobalSettingsData *

msRTCSIP-Search

msRTCSIP-SearchMaxResults

msRTCSIP-SearchMaxRequests

msRTCSIP-MaxNumOutstandingSearchPerServer

msRTCSIP-Federation (Live Communications Server 2005)

msRTCSIP-DefaultRouteToEdgeProxy (Live Communications Server 2005)

msRTCSIP-DefaultRouteToEdgeProxyPort (Live Communications Server 2005)

msRTCSIP-EnableFederation (Live Communications Server 2005)


msRTCSIP-Archive (Live Communications Server 2005)

msRTCSIP-ArchiveDefault (Live Communications Server 2005) (obsoleto en Office Communications Server 2007)

msRTCSIP-ArchiveDefaultFlags (Live Communications Server 2005)

msRTCSIP-ArchiveFederationDefault (Live Communications Server 2005) (obsoleto en Office Communications Server 2007)

msRTCSIP-ArchiveFederationDefaultFlags (Live Communications Server 2005) (obsoleto en Office Communications Server 2007)

msRTCSIP-Meeting (Office Communications Server 2007)

msRTCSIP-MeetingFlags (Office Communications Server 2007)

msRTCSIP-MeetingPolicy (Office Communications Server 2007)

msRTCSIP-UnifiedCommunications (Office Communications Server 2007)

msRTCSIP-UCFlags (UC)

msRTCSIP-UCPolicy (UC)

msRTCSIP-Domain

msRTCSIP-DomainName

msRTCSIP-WMIInstanceId (obsoleto)

msRTCSIP-Default (Office Communications Server 2007)

msRTCSIP-DomainData *

msRTCSIP-TrustedServer

msRTCSIP-TrustedServerFQDN

msRTCSIP-IsMaster (obsoleto)

msRTCSIP-TrustedServerVersion (Live Communications Server 2005)

msRTCSIP-TrustedServerData *

msRTCSIP-EdgeProxy (Live Communications Server 2005)

msRTCSIP-EdgeProxyFQDN (Live Communications Server 2005)

msRTCSIP-EdgeProxyData * (Live Communications Server 2005)

msRTCSIP-ArchivingServer (Live Communications Server 2005)

dnsHostName (Live Communications Server 2005)

msRTCSIP-ArchivingServerVersion (Office Communications Server 2007)

msRTCSIP-ArchivingServerData *


msRTCSIP-MCUFactories (Office Communications Server 2007)msRTCSIP-MCUFactory (Office Communications Server 2007)

msRTCSIP-PoolAddresses (Office Communications Server 2007)

msRTCSIP-MCUType (Office Communications Server 2007)

msRTCSIP-MCUServers (Office Communications Server 2007)

msRTCSIP-MCUVendor (Office Communications Server 2007)


msRTCSIP-MCUFactoryProviderID (Office Communications Server 2007)

msRTCSIP-MCUFactoryData * (Office Communications Server 2007)

msRTCSIP-TrustedMCUs (Office Communications Server 2007)msRTCSIP-TrustedMCU (Office Communications Server 2007)

msRTCSIP-TrustedMCUFQDN (Office Communications Server 2007)

msRTCSIP-MCUType (Office Communications Server 2007)

msRTCSIP-MCUVendor (Office Communications Server 2007)

msRTCSIP-TrustedMCUData * (Office Communications Server 2007)

msRTCSIP-TrustedWebComponentsServers (Office Communications Server 2007)

msRTCSIP-TrustedWebComponentsServer (Office Communications Server 2007)

msRTCSIP-TrustedWebComponentsServerFQDN (Office Communications Server 2007)

msRTCSIP-TrustedServerVersion(Office Communications Server 2007)

msRTCSIP-TrustedWebComponentsServerData * (Office Communications Server 2007)

msRTCSIP-TrustedProxies (Office Communications Server)msRTCSIP-TrustedProxy (Office Communications Server)

msRTCSIP-TrustedProxyFQDN (Office Communications Server)

msRTCSIP-TrustedServerVersion (Office Communications Server)

msRTCSIP-TrustedProxyData * (Office Communications Server)

msRTCSIP-TrustedServices (Office Communications Server 2007)msRTCSIP-TrustedService (Office Communications Server 2007)

msRTCSIP- TrustedServiceType (Office Communications Server 2007)

msRTCSIP- TrustedServicePort (Office Communications Server 2007)

msRTCSIP-Routable (Office Communications Server 2007)

msRTCSIP-TrustedServerFQDN (Live Communications Server 2005)


msRTCSIP-TrustedServerVersion (Live Communications Server 2005)

msRTCSIP-ServerBL (Office Communications Server 2007)

msRTCSIP-ExtensionData* (Office Communications Server 2007)

msRTCSIP-Policies (Office Communications Server 2007msRTCSIP-GlobalUserPolicy (Office Communications Server 2007)

msRTCSIP-PolicyType (Office Communications Server 2007)

msRTCSIP-DefaultPolicy (Office Communications Server 2007)

msRTCSIP-PolicyContent (Office Communications Server 2007)

msRTCSIP-PolicyData* (Office Communications Server 2007)

msRTCSIP-Pools (Live Communications Server 2005)msRTCSIP-Pool (Live Communications Server 2005)

msRTCSIP-PoolDisplayName (Live Communications Server 2005)

msRTCSIP-BackEndServer (Live Communications Server 2005)

msRTCSIP-PoolType (Live Communications Server 2005)

msRTCSIP-PoolVersion (SP1)

msRTCSIP-PoolFunctionality (Office Communications Server 2007)

msRTCSIP-PoolDomainFQDN (Office Communications Server 2007)msRTCSIP-DefaultLocationProfileLink (UC)msRTCSIP-TrustedServicesLink (UC)dnsHostName (Live Communications Server 2005)msRTCSIP-PoolData * (SP1)

msRTCSIP-PoolService (Live Communications Server 2005)

msRTCSIP-FrontEndServers (Live Communications Server 2005)msRTCSIP-MCUFactoryService (Office Communications Server 2007)

msRTCSIP-MCUFactoryPath (Office Communications Server 2007)msRTCSIP-WebComponentService (Office Communications Server 2007)

msRTCSIP-WebComponentsServers (Office Communications Server 2007)


msRTCSIP-LocationProfiles (Office Communications Server 2007)msRTCSIP-LocationProfile (Office Communications Server 2007)

msRTCSIP-LocationName (Office Communications Server 2007)msRTCSIP-LocalNormalizationLinks (Office Communications Server 2007)msRTCSIP-Description (Office Communications Server 2007)msRTCSIP-ServerReferenceBL (Office Communications Server 2007)msRTCSIP-LocationProfileData * (Office Communications Server 2007)

msRTCSIP-LocalNormalizations (Office Communications Server 2007)

msRTCSIP-LocalNormalization (Office Communications Server 2007)

msRTCSIP-RuleName (Office Communications Server 2007)msRTCSIP-Pattern (Office Communications Server 2007)msRTCSIP-Translation (Office Communications Server 2007)msRTCSIP-Description (Office Communications Server 2007)msRTCSIP-locationProfileBL (Office Communications Server 2007)msRTCSIP-LocalNormalizationData * (Office Communications Server 2007)

msRTCSIP-RouteUsages (Office Communications Server 2007)msRTCSIP-RouteUsage (Office Communications Server 2007)

msRTCSIP-RouteUsageAttribute (Office Communications Server 2007)msRTCSIP-Description (Office Communications Server 2007)msRTCSIP-PhoneRouteBL (Office Communications Server 2007)msRTCSIP-Default (Office Communications Server 2007)msRTCSIP-PhoneUsageData * (Office Communications Server 2007)

msRTCSIP-PhoneRoutes (Office Communications Server 2007)msRTCSIP-PhoneRoute (Office Communications Server 2007)

msRTCSIP-PhoneRouteName (UC)

msRTCSIP-TargetPhoneNumber (UC)

msRTCSIP-Gateways (UC)

msRTCSIP-RouteUsageLinks (UC)

msRTCSIP-Description (UC)

msRTCSIP-PhoneRouteData * (UC)

* Estos atributos se reservan para usarlos en caso de emergencia para agregar los nuevos atributos como pares de nombre y valor en el atributo de la extensión, sin requerir otra extensión de esquema.


Descripción de los atributosEn esta sección se describen los atributos del esquema de Active Directory que agrega Office Communications Server 2007. Se indican los nuevos atributos que agrega Office Communications Server. La convención de nomenclatura de los atributos empieza por el nombre de la clase a la que pertenece el atributo, seguido del calificador del atributo.

Por ejemplo, si es necesario agregar un atributo que especifica el número de versión del servidor a la clase Archive, la convención de nomenclatura se muestra en la tabla 5:

Tabla 5. Ejemplo de convención de nomenclatura para los atributosNombre de la

claseObjetivo Nombre del atributo

msRTCSIP-Archive

+ Versión = msRTCSIP-ArchiveVersion

dnsHostName Atributo de Active Directory que ahora está asociado a las clases nuevas msRTCSIP-Archive y msRTCSIP-Pool. Este atributo especifica el FQDN de un grupo de servidores tal como está registrado en DNS.

Un valor válido para cada segmento es 63 caracteres; un valor válido para el FQDN completo es 255 caracteres.

msDS-Source-Object-DN (Office Communications Server)Este atributo contiene la representación de cadena del nombre distintivo del objeto en otro bosque que se corresponde con este objeto. Se usa para la expansión del grupo de distribución y asistencia automática. Este atributo se define en el esquema predeterminado de Active Directory para Windows 2003 R2.

Para que no sea necesaria una actualización de Active Directory a Windows 2003 R2, la preparación del esquema de Office Communications Server extiende el esquema de Windows 2000 o Windows 2003 con esta definición de atributos.

msRTCSIP-ArchiveDefaultFlags Este atributo especifica el valor predeterminado global dentro del límite del bosque para archivar todas las comunicaciones de los usuarios. Lo aplica la capa del Agente de archivado.

El intervalo de valores de este atributo es el siguiente:

TRUE: Se archivan todos los usuarios

FALSE: No se archivan todos los usuarios

Este atributo controla, dentro del límite del bosque y de manera global, cómo se archivan las comunicaciones de los usuarios en una red interna.

Comportamiento de Live Communications Server 2005 (ahora retirado)


0: Se archiva el cuerpo del mensaje [bit 0]

Referencia de esquema de Active Directory 65 1: No se archiva el cuerpo del mensaje [bit 0]


Comportamiento de Office Communications Server 2007


0: ArchiveFederationDefaultWithoutBody (retirado)

1-2: ArchiveInternalCommunications

3-4: ArchiveFederatedCommunications

5: RecordPresenceRegistrations

6: RecordIMCallDetails

7: RecordGroupIMCallDetails

8: RecordFileTransferInstances

9: RecordAudioCallDetails

10: RecordVideoCallDetails

11: RecordRemoteAssistanceCallDetails

12: RecordApplicationSharingDetails

13: RecordMeetingInstantiations

14: RecordMeetingJoins

15: RecordDataJoins

16: RecordAVJoins

msRTCSIP-ArchivingEnabledEste atributo controla si deben archivarse las comunicaciones de un usuario. Lo aplica la capa del Agente de archivado. Se marca para la replicación del catálogo global.

Este atributo es un entero que se usa como un campo de bits para controlar si se archivan las comunicaciones del usuario. Este control lo aplica la capa del Agente de archivado. El ámbito de este atributo es específico de un usuario o contacto únicos.

Los valores válidos en Office Communications Server son los siguientes:

0-1: Se retira

2: Se archivan las comunicaciones internas

3: Se archivan las comunicaciones federadas

Los valores válidos anteriormente en Live Communications Server 2005 son los siguientes:

0: Se usa el valor predeterminado definido por msRTCSIP-ArchiveDefault y msRTCSIP-ArchiveFederation, por este orden de prioridad:

1: Archivar

2: No archivar

3: Archivar sin el cuerpo del mensaje


msRTCSIP-ArchivingServerData (Live Communications Server 2005) Este atributo se reserva para su uso en el futuro.

msRTCSIP-ArchivingServerVersion (Office Communications Server)Este atributo define la versión del Servicio de archivado. Este atributo es un tipo entero monótonamente aumentando que se incrementa con cada lanzamiento del producto oficial.

Los posibles valores válidos son:

Indefinido: Live Communications Server 2003


Indefinido: Live Communications Server 2005 con SP1.

3: Office Communications Server 2007

msRTCSIP-BackEndServer Este atributo especifica el FQDN del servidor back-end de fondo del grupo de servidores. Debido a que sólo puede haber un servidor back-end de fondo por cada grupo de servidores, este atributo tiene un único valor.

El valor válido para cada segmento es 63 caracteres; el valor válido para el FQDN completo es 255 caracteres.

msRTCSIP-Default (Office Communications Server 2007)Este atributo booleano define si el uso del teléfono es un uso predeterminado. Si este atributo está establecido en TRUE, el uso del teléfono es un uso predeterminado y el administrador no puede eliminarlo. Si este atributo está establecido en FALSE, el uso se puede eliminar.

msRTCSIP-DefaultLocationProfileLink (Office Communications Server 2007)Este atributo de un único valor contiene el nombre distintivo (DN) de un objeto de clase de perfil de ubicación asignado a él. Éste es el vínculo de avance. El vínculo de retroceso correspondiente es msRTCSIP-ServerReferenceBL.

msRTCSIP-DefaultPolicy (Office Communications Server)Este atributo booleano especifica si la directiva es una directiva predeterminada. La directiva es una directiva predeterminada cuando está establecido en TRUE.

msRTCSIP-DefaultRouteToEdgeProxy Este atributo especifica el nombre de dominio completo (FQDN) del servidor que ejecuta Office Communications Server o el servidor perimetral de acceso, si es directamente accesible, o del equilibrador de carga de hardware para una matriz de servidores que ejecutan el servidor perimetral de acceso. Si los servidores que ejecutan el servidor perimetral de acceso sólo son accesibles a través de uno o más Directores, este atributo especifica el FQDN y, opcionalmente, el número de puerto del Director o del equilibrador de carga de hardware que sirve una matriz de Directores.

68 Microsoft® Office Communications Server 2007 Guía de Active DirectoryEl valor válido para cada segmento es 63 caracteres; el valor válido para el FQDN completo es 255 caracteres.


msRTCSIP-DefaultRouteToEdgeProxyPort Este atributo representa el número de puerto que se debería usar para conectar con el servidor que ejecuta el servidor perimetral de acceso de Office Communications.

El valor válido es un entero que especifique el puerto que se debe usar. El valor predeterminado es 5061.

msRTCSIP-DefPresenceSubscriptionTimeout Este atributo representa el período de tiempo de espera de suscripción de presencia predeterminado.

msRTCSIP-DefRegistrationTimeOutEste atributo representa la ventana de tiempo de espera de registro predeterminada.

msRTCSIP-DefRoamingDataSubscriptionTimeoutEste atributo representa la ventana de tiempo de espera de la suscripción de datos móviles predeterminada.

msRTCSIP-Description (Office Communications Server 2007)Este atributo de cadena de UNICODE de un único valor contiene una descripción fácil de entender de esta ruta del teléfono o regla de la normalización.

msRTCSIP-DomainDataEste atributo se reserva para su uso en el futuro.

msRTCSIP-DomainNameEste atributo representa un dominio configurado para el registro.

msRTCSIP-EdgeProxyData Este atributo se reserva para su uso en el futuro.

msRTCSIP-EdgeProxyFQDN Este atributo especifica el FQDN del servidor que ejecuta el servidor perimetral de acceso.

El valor válido para cada segmento es 63 caracteres; el valor válido para el FQDN completo es 255 caracteres.

msRTCSIP-EnableBestEffortNotify Este atributo controla si un servidor genera una solicitud Best Effort NOTIFY, o NOTIFY de “mejor esfuerzo” (BENOTIFY), en lugar de una solicitud NOTIFY, en respuesta a una solicitud SUBSCRIBE de un cliente. BENOTIFY es una extensión que mejora el rendimiento para el protocolo de enlace de notificaciones de suscripción mediante la cual el servidor genera solicitudes BENOTIFY en lugar de las solicitudes NOTIFY normales. La ventaja desde el punto de vista del rendimiento consiste en que una solicitud BENOTIFY no requiere una respuesta 200 OK del cliente, a diferencia de la solicitud NOTIFY.


El valor válido es TRUE o FALSE.

msRTCSIP-EnableFederation Este atributo es un modificador global que los administradores de TI usan para configurar si los usuarios pueden comunicarse con usuarios de otras organizaciones. Permite al administrador sobrescribir el atributo FederationEnabled de un usuario concreto. Este atributo puede ser útil para ayudar a proteger la red interna de ataques procedentes de Internet producidos por gusanos o virus, o ataques concretos dirigidos a la compañía.

Los tipos de valores válidos son:

1: Se habilita para la conectividad de mensajería instantánea pública

2: Reservado

4: Reservado

8: Reservado

16: RCC (control remoto de llamadas) habilitado [Telefonía]

64: AllowOrganizeMeetingWithAnonymousParticipants (les permite a los usuarios invitar a usuarios anónimos a las reuniones)

128: UCEnabled (habilita a los usuarios para las comunicaciones unificadas)

256: EnabledForEnhancedPresence (habilita a los usuarios para la conectividad de mensajería instantánea pública)

512: RemoteCallControlDualMode

NotaLive Communications Server 2003 no es compatible con las solicitudes BENOTIFY. Para interoperar con las aplicaciones de servidor escritas mediante las API de servidor de Live Communications Server 2003 que se ejecuten en servidores de Live Communications Server 2005 y servidores de otros fabricantes, las solicitudes BENOTIFY se puede deshabilitar al establecer su valor en FALSE. Actualmente, BENOTIFY no forma parte del proceso de normalización de SIP del Grupo de trabajo de ingeniería de Internet (IETF).

Referencia de esquema de Active Directory 71 1024: Enabled auto-attendant (habilita el uso del operador automático)

msRTCSIP-EnterpriseServicesEste atributo indica si los servicios de Enterprise Server se cargan en el servidor determinado.

msRTCSIP-ExtensionData Este atributo se reserva para su uso en el futuro.

msRTCSIP-FederationEnabled Este atributo controla si un usuario está habilitado para la federación. Lo aplica la capa de servicios de Enterprise Server. Se marca para la replicación del catálogo global.Los valores válidos son TRUE o FALSE.


msRTCSIP-FrontEndServers Este atributo es una lista de valor múltiple de los nombres de dominio de todos los servidores Enterprise Edition asociados a un grupo de servidores.

msRTCSIP-Gateways (Office Communications Server 2007)Este atributo de cadena de valor múltiple contiene una lista de puertas de enlace y puertos (por puerta de enlace).

msRTCSIP-GlobalSettingsDataEste atributo almacena los pares de nombre:valor. El par nombre:valor ya definido corresponde al valor “allow polling for presence” (permitir la consulta de la información de presencia).

msRTCSIP-InternetAccessEnabled Este atributo controla si un usuario está habilitado para el acceso de usuarios externos. Lo aplica la capa de servicios de Enterprise Server. Se marca para la replicación del catálogo global.

Los valores válidos son TRUE o FALSE.

msRTCSIP-Line Este atributo de un único valor contiene el identificador de dispositivo (el URI de SIP o el URI de TEL del teléfono que controla el usuario), que usa Microsoft Office Communicator para la telefonía. Este atributo se marca para la replicación del catálogo global y se indiza. En Office Communications Server 2007, si un usuario está habilitado para Enterprise Voice, este atributo almacena la versión normalizada E.164 del número de teléfono del usuario.

msRTCSIP-LineServer Este atributo de un solo valor contiene el URI de SIP del servidor de puerta de enlace de CSTA-SIP. Este atributo se marca para la replicación del catálogo global pero no se indiza.

msRTCSIP-LocalNormalizationLinks (Office Communications Server 2007)Este atributo de valor múltiple contiene una lista de nombres distintivos (DN) de la normalización local asociados a este perfil de ubicación. El tipo de este atributo es un binario del nombre distintivo. Existe una relación uno a varios entre el perfil de ubicación y las reglas de la normalización locales. La clasificación de la lista de nombres distintivos de la normalización local se debe mantener en el orden que especifica el administrador. La conservación del orden la mantiene la parte binaria del nombre distintivo binario, que especifica el índice de orden. El atributo del vínculo de retorno correspondiente es msRTCSIP-LocationProfileBL.

msRTCSIP-LocationName (Office Communications Server 2007)Este atributo de un solo valor contiene sólo nombre para el perfil de ubicación que indica la ubicación que representa este perfil. Dado que puede haber varios perfiles de ubicación, el administrador necesita una forma de distinguir los diferentes perfiles.

msRTCSIP-LocationProfileBL (Office Communications Server 2007)Este atributo de valor múltiple contiene una lista de nombres distintivos de perfil de ubicación. Este atributo especifica el vínculo de retorno en uno o más perfiles de ubicación. Este atributo se corresponde con el vínculo de avance msRTCSIP-LocalNormalizationLinks.

msRTCSIP-MaxNumOutstandingSearchPerServer Este atributo representa el número máximo de solicitudes de búsqueda pendientes por servidor.


msRTCSIP-MaxNumSubscriptionsPerUser El atributo representa el número máximo de suscripciones por usuario.

msRTCSIP-MaxPrescenceSubscriptionTimeout Este atributo representa la ventana de tiempo de espera de suscripción máxima.

msRTCSIP-MaxRegistrationsTimeout (Office Communications Server)Este atributo representa la ventana de tiempo de espera de registros máxima.

msRTCSIP-MaxRoamingDataSubscriptionTimeout (Office Communications Server)Este atributo representa la ventana de tiempo de espera de suscripciones de datos móviles máxima.

msRTCSIP-MCUData (Office Communications Server)Este atributo se reserva para su uso en el futuro.

msRTCSIP-MCUFactoryAddress (Office Communications Server)Este atributo es un atributo de punto de conexión de servicio bajo la clase de equipo que especifica un vínculo de retorno a la fábrica de MCU a la que pertenece. Este punto de conexión de servicio y el atributo se crean para cada MCU de Microsoft. Cada MCU de Microsoft debe buscar el servidor back-end del grupo de servidores al que pertenece para recuperar la configuración en el nivel de grupo de servidores.

El valor de este atributo es el nombre distintivo (DN) de la fábrica de MCU. Éste es un atributo de un solo valor y está marcado para la replicación del catálogo global.

msRTCSIP-MCUFactoryData (Office Communications Server)Éste es un atributo de cadena múltiple reservado. La configuración almacenada en este atributo se representa como pares nombre=valor. Los pares nombre=valor actualmente definidos son:

FactoryURL = <URL>

msRTCSIP-MCUFactoryPath (Office Communications Server)Éste es un atributo de un solo valor que contiene el nombre distintivo (DN) de una única fábrica de MCU asociado a un grupo de servidores.

msRTCSIP-MCUFactoryProviderID (Office Communications Server)Este atributo es una cadena de un solo valor que especifica el GUID del proveedor de la fábrica de MCU. Basado en el valor GUID, el proceso de la fábrica de MCU determina si se presta servicio a este tipo de MCU. Si el valor GUID es {F0810510-424F-46ef-84FE-6CC720DF1791 }, el proceso de la fábrica de MCU (disponible de forma predeterminada en Office Communications Server) lo procesará. Para cualquier otro valor GUID, el proceso de la fábrica de MCU no prestará servicio al tipo de MCU.

msRTCSIP-MCUServers (Office Communications Server)Este atributo es una lista de varios valores de nombres distintivos (DN). Este atributo contiene una lista de todos los servidores de MCU del mismo tipo y proveedor asociados a esta fábrica

74 Microsoft® Office Communications Server 2007 Guía de Active Directoryde MCU. El valor válido para cada segmento es 63 caracteres; el valor válido para el FQDN completo es 255 caracteres.


msRTCSIP-MCUType (Office Communications Server)Este atributo es una cadena de un solo valor que especifica el medio que MCU puede administrar.

Los tipos válidos compatibles son:

“meeting”

“audio-vídeo”

“chat”

“phone-conf”

msRTCSIP-MCUVendor (Office Communications Server)Este atributo es una cadena de un solo valor que especifica el nombre de un proveedor de MCU. Todo los MCU de Microsoft especificarán que este atributo sea: “Microsoft Corporation”.

msRTCSIP-MeetingFlags (Office Communications Server)Este atributo define opciones de reunión diferentes que están habilitadas globalmente para todos los objetos de tipo User o Contact. Este atributo es un valor de máscara de bits de tipo entero.

Los valores válidos son los siguientes:

Habilitar a todos los usuarios para organizar reuniones: bits 1 y 2.

Habilitar a todos los usuarios para organizar reuniones externas: bits 3 y 4.

msRTCSIP-MeetingPolicy (Office Communications Server 2007)Este atributo especifica el nombre distintivo (DN) de la directiva que el administrador ha asignado para este usuario como un atributo de un solo valor.

msRTCSIP-MinPrescenceSubscriptionTimeout (Office Communications Server 2007)Este atributo representa la ventana de tiempo de espera de suscripción de presencia mínimo.

msRTCSIP-MinRegistrationTimeout (Office Communications Server 2007)Este atributo representa la ventana de tiempo de espera de registro mínimo.

msRTCSIP-MinRoamingDataSubscriptionTimeout (Office Communications Server 2007)Este atributo representa la ventana de tiempo de espera de la suscripción de datos móviles mínimo.

msRTCSIP-NumDevicesPerUser (Office Communications Server 2007)Este atributo representa el número permitido de dispositivos en los que un usuario se puede registrar para las comunicaciones SIP y suscribirse a presencia.


msRTCSIP-OptionFlagsEste atributo especifica las diferentes opciones que están habilitadas para los objetos de tipo User o Contact. Este atributo es un valor de máscara de bits de tipo entero. Cada opción está representada por un bit. Este atributo se marca para la replicación del catálogo global.

Los tipos de valores válidos son:

1: Se habilita para la conectividad de mensajería instantánea pública

2: Reservado

4: Reservado

8: Reservado

16: RCC (control remoto de llamadas) habilitado [Telefonía]

64: AllowOrganizeMeetingWithAnonymousParticipants (les permite a los usuarios invitar a usuarios anónimos a las reuniones)

128: UCEnabled (habilita a los usuarios para las comunicaciones unificadas)

256: EnabledForEnhancedPresence (habilita a los usuarios para la conectividad de mensajería instantánea pública)

512: RemoteCallControlDualMode

1024:Enabled auto-attendant (habilita el uso del operador automático)

msRTCSIP-OriginatorSIDEste atributo se usa en topologías de bosque de recursos y bosque central para habilitar el inicio de sesión único cuando el objeto ObjectSID de un usuario de la cuenta principal de Windows NT se copia en este atributo del objeto User o Contact correspondiente en el bosque de recursos o bosque central. Communicator Web Access busca a un usuario en Active Directory mediante este atributo o el objeto ObjectSID del usuario. Este atributo se marca para la replicación del catálogo global.

msRTCSIP-Pattern (Office Communications Server 2007)Este atributo de la cadena de un solo valor contiene un modelo que se usa para hacer coincidir los números marcados con el formato E.164. Si el número marcado coincide con este modelo, la traducción se aplica al número marcado.

msRTCSIP-PhoneRouteBL (Office Communications Server 2007)Este atributo de valor múltiple contiene una lista de nombres distintivos (DN) de ruta de teléfono. Este atributo especifica el vínculo de retorno en una o más rutas de teléfono. Este atributo se corresponde con el vínculo de avance msRTCSIP-RouteUsageLinks.

msRTCSIP-PhoneRouteName (Office Communications Server 2007)Este atributo de cadena UNICODE de valor único especifica sólo el nombre de la ruta telefónica, por lo que el administrador puede hacer referencia al mismo con facilidad.


msRTCSIP-PolicyContent (Office Communications Server)Este atributo es una cadena Unicode de un único valor. Este atributo de cadena contiene la definición de la directiva en formato XML. La definición del esquema XML es común en todos los diferentes tipos de directiva, sólo la configuración es diferente para cada tipo de la directiva.

Esta es la definición del esquema XML (XSD):

<?xml version="1.0" encoding="utf-8"?>

<xs:schema id="instance" xmlns="" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:msdata="urn:schemas-microsoft-com:xml-msdata">

<xs:element name="instance" msdata:IsDataSet="true">

<xs:complexType>

<xs:choice maxOccurs="unbounded">

<xs:element name="property" nillable="true">

<xs:complexType>

<xs:simpleContent msdata:ColumnName="property_Text" msdata:Ordinal="1">

<xs:extension base="xs:string">

<xs:attribute name="name" type="xs:string" />

</xs:extension>

</xs:simpleContent>

</xs:complexType>

</xs:element>

</xs:choice>

</xs:complexType>

</xs:element>

</xs:schema>

msRTCSIP-PolicyData(Office Communications Server)Este atributo se reserva para su uso en el futuro.

msRTCSIP-PolicyType (Office Communications Server)Este atributo de cadena Unicode de un solo valor contiene el tipo de directiva. Los tipos de directiva válidos son los siguientes:

meeting

telephony


msRTCSIP-PoolAddress Este atributo especifica un vínculo de retorno al grupo de servidores al que pertenece un equipo. Este atributo se establece independientemente de si el equipo está ejecutando la versión Standard Edition o Enterprise Edition de Office Communications Server. Este atributo se marca para la replicación del catálogo global.

El valor válido es el nombre de dominio del grupo de servidores.

msRTCSIP-PoolAddresses (Office Communications Server)Éste es un atributo de valor múltiple que contiene una lista de los nombres distintivos (DN) de grupos de servidores a los que se asocia la fábrica de MCU.

msRTCSIP-PoolData Este atributo es un atributo reservado.

msRTCSIP-PoolDisplayName Este atributo especifica un nombre arbitrario de un grupo de servidores que se muestra en la consola de administración. El administrador puede cambiar este nombre.

El valor válido es una cadena que represente el nombre de un grupo de servidores.

msRTCSIP-PoolDomainFQDN (Office Communications Server)Este atributo es un valor de cadena de un único valor. El valor de este atributo, cuando está presente, representa el FQDN de dominio del grupo de servidores si el administrador desea crear un grupo de servidores Enterprise con un FQDN que no cumple a la estructura del dominio de Active Directory en la que se crea el grupo de servidores Enterprise (por ejemplo, un espacio de nombres SIP separado del espacio de nombres DNS).

Recomendamos que asigne el FQDN de dominio del grupo de servidores Enterprise a la parte del nombre de dominio como el dominio de Active Directory en el que el grupo de servidores reside. Por consiguiente, cuando no haya ningún valor en este atributo, el FQDN de dominio del grupo de servidores Enterprise que FQDN tendrá como valor predeterminado la estructura del nombre de dominio de Active Directory, como indica el atributo del dnsHostName.

msRTCSIP-PoolFunctionality (Office Communications Server) Lista con varios valores que contiene los nombres de dominio de todos los servidores de Office Communications Server, Enterprise Edition asociados a un grupo de servidores.

Este atributo de tipo entero define si el grupo de servidores puede usar las características de mensajería instantánea, presencia y reuniones.

Los tipos de valores válidos posibles son: Indefinido: mensajería instantánea y servicio de presencia (Live Communications

Server 2005 y 2003)

1: mensajería instantánea y servicio de presencia (Office Communications Server)

2: mensajería instantánea y presencia y servicio de reuniones (Office Communications Server)


msRTCSIP-PoolType Este atributo especifica si un grupo de servidores está ejecutando Office Communications Server, Standard Edition u Office Communications Server, Enterprise Edition.

Los tipos de valores válidos posibles son: Office Communications Server, Standard Edition

Office Communications Server, Enterprise Edition

msRTCSIP-PoolVersion Este atributo define la versión del grupo de servidores. Es un tipo entero que se incrementa con cada lanzamiento del producto principal.

Los tipos de valores válidos posibles son: 0: Live Communications Server 2003

1: Live Communications Server 2005

2: Live Communications Server 2005 SP1

3: Office Communications Server

msRTCSIP-PrimaryHomeServerEste atributo habilita un usuario o contacto para la mensajería SIP. Está agregado a la clase de contacto porque, en la topología de bosque central, los objetos de contacto son los que están habilitados para SIP, y no los objetos de usuario.

El valor válido es el nombre de dominio del servidor o grupo de servidores principales donde se hospeda un usuario.

msRTCSIP-UserAddressEste atributo contiene la dirección SIP de un usuario determinado.

msRTCSIP-Routable (Office Communications Server 2007)Este atributo es un atributo booleano que se usa para determinar si Office Communications Server está autorizado para enrutar este servicio mediante su dirección de GRUU. Si este valor está establecido en TRUE, Office Communications Server está autorizado para enrutar este servicio. Si este valor está establecido en FALSE, Office Communications Server no está autorizado para enrutar este servicio.

msRTCSIP-RouteUsageAttribute (Office Communications Server 2007)Este atributo de cadena de UNICODE de un solo valor define un atributo que certifica el uso de una ruta de teléfono. La selección de una ruta de teléfono se determina en función en dos elementos: el atributo de uso asignado a la ruta de teléfono y los atributos de uso de directiva permitidos del autor de la llamada. Se selecciona la primera ruta de teléfono con un atributo de uso que coincide con el uso permitido del autor de la llamada.

msRTCSIP-RouteUsageLinks (Office Communications Server 2007)Este atributo del nombre distintivo (DN) de valor múltiple contiene una lista de nombres distintivos (DN) de uso de ruta. Este atributo es un vínculo de retorno que se corresponde con el vínculo de avance msRTCSIP-PhoneRouteBL.


msRTCSIP-RuleName (Office Communications Server 2007)Este atributo de cadena UNICODE de valor único especifica sólo el nombre de la regla de normalización, por lo que el administrador puede hacer referencia al mismo con facilidad.

msRTCSIP-SchemaVersionEste atributo representa la versión del esquema implementada actualmente en la organización.

msRTCSIP-SearchMaxRequestsEste atributo limita el número de resultados de la búsqueda que se va a devolver de una búsqueda en directorios cuando un usuario busca un contacto mediante Comunicador de Office. Este atributo invalidará el valor proporcionado por el cliente.

msRTCSIP-ServerBL (Office Communications Server 2007)Este atributo de valor múltiple es un vínculo de retorno que contiene una lista de nombres distintivos (DN). Estos nombres distintivos señalan a un grupo de servidores u objeto TrustedService. Este atributo se corresponde con el vínculo de avance msRTCSIP-TrustedServiceLinks.

msRTCSIP-ServerData (Offce Communicator Server 2007)Este atributo se reserva para su uso en el futuro.

msRTCSIP-ServerReferenceBL (Office Communications Server 2007)Este atributo de valor múltiple contiene una lista de nombres distintivos (DN). Estos nombres distintivos son vínculos de retorno que hacen referencia a otros objetos de servidor que pueden estar asignados un perfil de ubicación predeterminado. El vínculo de avance correspondiente a este vínculo de retorno es msRTCSIP-DefaultLocationProfileLink.

Este atributo de vínculo de retorno sólo hace referencia a los grupos de servidores y a los servidores de mediación.

msRTCSIP-ServerVersion (Office Communications Server 2007) Este atributo define la información de versión del servidor. Este número de versión se aplica a todas las funciones del servidor. Es un entero monótonamente aumentando que se incrementa con cada lanzamiento del producto oficial.

Los tipos de valores válidos posibles son:





msRTCSIP-SourceObjectType (Office Communications Server 2007)Este atributo de un solo valor de tipo entero especifica el tipo de objeto al que señala SourceObjectDN de MSD, de la siguiente manera.

null | 0x00000001: Representa un objeto de usuario principal de Windows NT de un bosque diferente.


Los siguientes atributos representan un tipo de grupo de un bosque diferente para la expansión del grupo de distribución:

0x00000002: ADS_GROUP_TYPE_GLOBAL_GROUP

0x00000004: ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP

0x00000004: ADS_GROUP_TYPE_LOCAL_GROUP

0x00000008: ADS_GROUP_TYPE_UNIVERSAL_GROUP

0x80000000: ADS_GROUP_TYPE_SECURITY_ENABLED

0x90000000: Representa un objeto de acceso de suscriptor o de operador automático desde el mismo bosque o desde un bosque diferente.

msRTCSIP-TargetHomeServer Este atributo habilita mover a un usuario o contacto desde un servidor o grupo de servidores de Office Communications Server a otro. Este atributo está agregado a la clase de contacto porque, en la topología de bosque central, los objetos de contacto son los que están habilitados para SIP, y no los objetos de usuario.

El valor válido es el nombre distintivo del servidor Standard Edition o del grupo de servidores Enterprise Edition de destino al que se va a mover un usuario.

msRTCSIP-TargetPhoneNumber (Office Communications Server 2007)Este atributo de la cadena de un solo valor contiene un modelo o intervalo del número de teléfono para enrutar con las puertas de enlace especificadas definidas en msRTCSIP-Gateways.

msRTCSIP-Translation (Office Communications Server 2007)Este atributo lo usa la característica de voz de Office Communications Server y contiene la cadena de traducción que se aplica al número marcado, si se encuentra una coincidencia.

msRTCSIP-TrustedMCUData(Office Communications Server)Este atributo se reserva para su uso en el futuro.

msRTCSIP-TrustedMCUFQDN (Office Communications Server)Este atributo es un valor de cadena que contiene el FQDN de MCU. Éste es un atributo de un solo valor. El valor válido para cada segmento es 63 caracteres; el valor válido para el FQDN completo es 255 caracteres.

msRTCSIP-TrustedProxyData (Office Communications ServerEste atributo se reserva para su uso en el futuro.

msRTCSIP-TrustedProxyFQDN (Office Communications Server)Este atributo es un valor de cadena que contiene el FQDN del servidor que ejecuta el servidor proxy. Este atributo es de un solo valor. El valor válido para cada segmento es 63 caracteres; el valor válido para el FQDN completo es 255 caracteres.

msRTCSIP-TrustedServerData (Office Communications Server)Este atributo se reserva para su uso en el futuro.

msRTCSIP-TrustedServerFQDNEste atributo es un atributo de un solo valor que representa el FQDN de un servidor de confianza.


msRTCSIP-TrustedServerVersion Este atributo especifica el número de versión de un servidor de la lista de servidores de confianza.

Los tipos de valores válidos posibles son:

NULL: Live Communications Server 2003

2: Live Communications Server 2005


msRTCSIP-TrustedServiceLinks Este atributo de valor múltiple contiene una lista de nombres distintivos (DN) que hacen referencia a un objeto de servicio de confianza, por ejemplo, un servicio de autenticación de transmisión de medios. Un servicio de autenticación de transmisión de medios (físicamente ubicado en el servidor perimetral de conferencia A/V) se debe asociar a un grupo de servidores para admitir escenarios de audio para usuarios remotos. El vínculo de retorno correspondiente a este atributo de vínculo de avance es msRTCSIP-ServerBL.

msRTCSIP-TrustedServicePort (Office Communications Server 2007)Este atributo es un entero que define el número de puerto que se usa para conectarse con este servicio GRUU.

msRTCSIP-TrustedServiceType (Office Communications Server)Este atributo es un valor de cadena que define el tipo de servicio GRUU que representa.

Los tipos de servicios GRUU válidos son los siguientes:

MediationServer

Puerta de enlace

MRAS ( servicio de autenticación de transmisión de medios)

QoSM

msRTCSIP-UserExtension CWA

msRTCSIP-TrustedWebComponentsServerData (Office Communications Server)Este atributo se reserva para su uso en el futuro.

msRTCSIP-TrustedWebComponentsServerFQDN (Office Communications Server)Este atributo es un valor de cadena que contiene el FQDN de IIS que ejecuta los componentes web de Office Communications Server. Éste es un atributo de un solo valor. El valor válido para cada segmento es 63 caracteres; el valor válido para el FQDN completo es 255 caracteres.

msRTCSIP-UCFlagsEste atributo define diferentes opciones de comunicaciones unificadas que están habilitadas globalmente para todos los objetos User o Contact. Este atributo es un valor de máscara de bits de tipo entero. Cada opción está representada por la presencia de un bit.

Referencia de esquema de Active Directory 83Los tipos de valores válidos posibles son: 4: UsePerUserUCPolicy Cuando se establece este bit, la directiva de comunicaciones unificadas la define el usuario.


msRTCSIP-UCPolicy Este atributo de un solo valor contiene el nombre distintivo (DN) de la directiva de comunicaciones unificadas que el administrador ha asignado para este usuario.

msRTCSIP-UserDomainList Este atributo proporciona una lista de todos los dominios de un bosque que hospedan usuarios habilitados para SIP. De manera predeterminada se ofrece una lista vacía, lo que indica que todos los dominios del bosque están habilitados para SIP.

Como valor válido, se admiten cadenas que representen los nombres de dominio de cada dominio.

msRTCSIP-UserEnabled Este atributo determina si el usuario está actualmente habilitado para Office Communications Server.

msRTCSIP-UserExtension Este atributo de valor múltiple contiene una lista de pares de nombre y valor en el formato de “nombre=valor”. Este atributo se marca para la replicación del catálogo global.

msRTCSIP-UserPolicy (Office Communications Server)Éste es un atributo de valor múltiple que contiene una lista de nombres distintivos (DN) con binario (DN_WITH_BINARY) que señala a las directivas de derechos de usuario global de tipos diferentes. La parte binaria indica el tipo de directiva a la que señala la parte de DN.

Los tipos de valores binarios válidos son:

0x00000001: Directiva de reunión

0x00000002: Directiva de comunicaciones unificadas

msRTCSIP-WebComponentsData (Office Communications Server)Éste es un atributo de valor múltiple. Este atributo está reservado.

msRTCSIP-WebComponentsPoolAddress (Office Communications Server)Este atributo de un solo valor señala al grupo de servidores o al servidor Standard Edition al que pertenecen los componentes web.

msRTCSIP-WebComponentsServers (Office Communications Server)Este atributo es una lista de varios valores de nombres distintivos (DN). Este atributo contiene una lista de todos los servidores web asociados a este grupo de servidores.

PhoneOfficeOther (Windows 2000)Este atributo existente lo usan los componentes de voz de Office Communications Server, únicamente para objetos Contact, con el propósito de enrutar las llamadas a los números de mensajería unificada de acceso de suscriptor y operador automático. La dirección de transferencia de llamadas incondicional se almacena en este atributo de valor múltiple. Esta cuenta se crea para el propósito concreto de acceso de suscriptor y operador automático. Los administradores no deben modificar los atributos de esta cuenta.


ProxyAddresses (Windows 2000)Este atributo de valor múltiple existente forma parte del esquema base de Active Directory introducido en Windows 2000. Este atributo contiene las diferentes direcciones X400, X500 y SMTP del correo electrónico del usuario. En Live Communications Server 2003 y posterior, el URI de SIP del usuario se agrega a esta lista, mediante la etiqueta “sip:”.

Las siguientes aplicaciones buscan el URI de SIP del usuario en este atributo:

Cliente de mensajería y colaboración de Microsoft Office Outlook® 2003

Microsoft Office SharePoint® Server 2007

Apéndice A: Cómo preparar Active Directory bloqueado

Las organizaciones a menudo bloquean Active Directory como ayuda para mitigar los riesgos de seguridad usando diversos procedimientos. No obstante, el bloqueo de Active Directory puede limitar los permisos que necesitan las aplicaciones, entre ellas, Office Communications Server. En esta sección se documentan las consideraciones adicionales y los pasos para preparar correctamente un bloqueó de Active Directory para Office Communications Server.

Las siguientes dos condiciones comunes con Active Directory bloqueado pueden causar problemas para la implementación de Communications Server:

Las entradas de control de acceso (ACE) de usuarios autenticados se quitan de los contenedores.

Se deshabilita la herencia de permisos en los contenedores de los objetos User, Contact, InetOrgPerson o Computer.

En la siguiente tabla se describen los problemas y las soluciones necesarias para cada condición.

Tabla 6. Problemas y soluciones para las condiciones de bloqueo de Active Directory

Problema de bloqueo de Active Directory

Solución

Caso 1: las entradas de control de acceso (ACE) de usuarios autenticados se quitan de los contenedoresSe necesitan permisos adicionales para permitir que un usuario ejecute Preparar el dominio, Activación y Crear grupo de servidores.

Siempre es necesario usar una cuenta con credenciales de administrador de dominio para ejecutar Preparar el dominio, Activación y Crear grupo de servidores. En un entorno bloqueado, también se deben conceder explícitamente a esta cuenta permisos de acceso de lectura en los contenedores relevantes de la raíz del bosque, ya que los procedimientos de bloqueo de Active Directory quitan estos permisos.


Otra posibilidad es usar una cuenta con credenciales de administrador de organización para ejecutar estos procedimientos.


Caso 2: Se deshabilita la herencia de permisos en los contenedores de los objetos User, InetOrgPerson, Contact y ComputerEstablecer entradas ACE adicionales en contenedores de objetos User.

Para establecer entradas ACE relativas a los grupos administrativos y de servicio, ejecute el procedimiento CreateLcsOuPermissions directamente en cada contenedor de objetos User del dominio. Si la organización usa objetos Contact o InetOrgPerson en la implementación de Office Communications Server, ejecute también el procedimiento CreateLcsOuPermissions directamente en cada uno de estos contenedores.

Establecer entradas ACE en contenedores de objetos Computer.

Para establecer entradas ACE relativas a los grupos administrativos y de servicio, ejecute el procedimiento CreateLcsOuPermissions en un contenedor de objetos Computer.

En las siguientes secciones se explica cómo preparar Active Directory cuando se quitan las entradas ACE de usuarios autenticados o se deshabilita la herencia de permisos.

Caso 1: se quitan los permisos de usuarios autenticados

Con Active Directory bloqueado, se quitan las entradas ACE de usuarios autenticados de los contenedores predeterminados de Active Directory, incluidos los contenedores Users, Systems y OU donde están almacenados objetos User y Computer. Al quitar las entradas ACE de usuarios autenticados se impide el acceso de lectura a información de Active Directory, pero esto causa problemas para Office Communications Server. Para que los usuarios ejecuten Preparar el dominio, Office Communications Server depende del permiso de lectura a estos contenedores.

En esta situación, la pertenencia al grupo Administradores del dominio, necesario para ejecutar Preparar el dominio, la activación de los servidores y la creación de grupos de servidores, ya no concede acceso de lectura a información de Active Directory almacenada en los contenedores predeterminados. Debe conceder manualmente permisos de acceso de lectura en diversos contenedores del dominio raíz del bosque para comprobar si se ha realizado correctamente el requisito previo Preparar el bosque.

Para solucionar este problema, use una cuenta con credenciales de administrador de organización para ejecutar estos procedimientos o conceda explícitamente a una cuenta con credenciales de administrador de dominio permisos de lectura explícitos en los contenedores necesarios donde se han quitado las entradas ACE de usuarios autenticados.


Para permitir que un usuario ejecute Preparar el dominio, la activación de los servidores o la creación de grupos de servidores en cualquier dominio que no pertenezca a la raíz del bosque, dispone de las siguientes opciones:

Use una cuenta con credenciales de administrador de organización para ejecutar Preparar el dominio.

Use una cuenta con credenciales de administrador de dominio y conceda a esta cuenta permisos de acceso de lectura en cada uno de los siguientes contenedores del dominio raíz del bosque:

Dominio

Sistema

En las siguientes secciones se proporcionan las instrucciones paso a paso para conceder el acceso de sólo lectura necesario para permitirle a un usuario ejecutar el paso Preparar el dominio y otras tareas de configuración.

Permitir que un usuario ejecute el paso Preparar el dominio o tareas de configuración

Si no desea usar una cuenta con credenciales de administrador de organización para ejecutar Preparar el dominio u otras tareas de configuración que requieren credenciales de administrador de dominio, conceda explícitamente a la cuenta que desea usar acceso de lectura en los contenedores relevantes de la raíz del bosque.

Para conceder a un usuario permisos de acceso de lectura en contenedores del dominio raíz del bosque1. Inicie una sesión en el equipo unido al dominio raíz del bosque con una cuenta que

tenga credenciales de administrador de dominio en este dominio.

2. Ejecute Adsiedit.msc para el dominio raíz del bosque.

3. Si se han quitado las entradas de control de acceso de usuarios autenticados del contenedor Domain o Systems, debe conceder permisos de sólo lectura al contenedor:

4. Haga clic con el botón secundario en el contenedor y, a continuación, haga clic en Propiedades.5. Haga clic en la ficha Seguridad.6. Haga clic en Avanzadas.7. En la ficha Permisos, haga clic en Agregar.8. Escriba el nombre del usuario o grupo que recibe permisos usando el siguiente formato:

dominio\nombre de cuenta.9. Haga clic en Aceptar.10. En la ficha Objetos, en Aplicar en, haga clic en Sólo este objeto.11. En Permisos, seleccione las siguientes entradas ACE de permiso haciendo clic en la columna

Permitir: Mostrar contenido, Leer todas las propiedades y Permisos de lectura.12. Haga clic en Aceptar dos veces.13. Repita estos pasos para cualquiera de los contenedores enumerados en el paso 3.


Caso 2: se deshabilita la herencia de permisos en los contenedores Computer, User o InetOrgPerson

Con Active Directory bloqueado, los objetos User y Computer a menudo se colocan en unidades organizativas específicas con la herencia de permisos deshabilitada para asegurar la delegación administrativa y para permitir el uso de GPO con el fin de aplicar directivas de seguridad.

El paso Preparar el dominio y la activación de los servidores establecen las entradas ACE que necesita Office Communications Server en el dominio raíz del bosque. Cuando la herencia de permisos está deshabilitada, los grupos de seguridad de Office Communications Server 2005 no pueden heredar estas entradas ACE de la raíz del dominio. Cuando estos permisos no se heredan, los grupos de seguridad de Office Communications Server no pueden tener acceso a la configuración almacenada en el dominio raíz del bosque y surgen los siguientes dos problemas:

Para administrar objetos User, InetOrgPerson o Contact y para activar los servidores, los grupos de seguridad de Office Communications Server requieren entradas ACE establecidas por el procedimiento Preparar el dominio en los conjuntos de propiedades RTC, de búsqueda de usuarios RTC y de información pública de cada usuario. Cuando la herencia de permisos está deshabilitada, los grupos de seguridad no heredan estas entradas ACE y no pueden administrar los servidores o usuarios.

Para descubrir los servidores y grupos de servidores, los servidores de Office Communications Server se basan en las entradas ACE que establece la activación en objetos relativos a equipos, incluidos el objeto Server y el contenedor de Microsoft. Cuando la herencia de los permisos está deshabilitada, los grupos de seguridad, servidores y grupos de servidores no heredan estas entradas ACE y no pueden aprovecharlas.

Para solucionar estos problemas, Office Communications Server ofrece un procedimiento adicional para la preparación de Active Directory llamado CreateLcsOuPermissions, disponible mediante la herramienta de implementación de la línea de comandos, LcsCmd.exe. Este procedimiento establece las entradas ACE de Office Communications Server necesarias directamente en un contenedor especificado y los objetos del contenedor.

En las siguientes secciones se explica cómo conceder estos permisos:

Establecer permisos en los contenedores User, InetOrPerson y Contact después de ejecutar Preparar el dominio.

Establecer permisos en los contenedores Computer después de ejecutar Preparar el dominio.


Establecer permisos en los contenedores User, InetOrgPerson y Contact después de ejecutar Preparar el dominio

Con Active Directory bloqueado, durante el paso Preparar el dominio no se establecen las entradas ACE necesarias en los contenedores User o InetOrgPerson del dominio si está deshabilitada la herencia de permisos.

Después de ejecutar Preparar el dominio en un dominio, ejecute CreateLcsOuPermissions en cada contenedor con objetos User o InetOrgPerson que tenga deshabilitado la herencia de permisos. Si ha implementado una topología de bosque central, también debe ejecutar CreateLcsOuPermission en el contenedor con objetos Contact. Este procedimiento agrega las entradas ACE necesarias directamente en los contenedores especificados y los objetos User o InetOrgPerson del contenedor. Cuando ejecute CreateLcsOuPermissions, especifique el tipo de objeto con el parámetro /objecttype.

Se necesitan credenciales de administrador de dominio para ejecutar este procedimiento. Si también se han quitado las entradas ACE de usuarios autenticados, debe conceder a esta cuenta acceso de lectura a las entradas ACE en los contenedores relevantes del dominio raíz del bosque, como se describió anteriormente en “Caso 1: se quitan los permisos de usuarios autenticados”, o utilizar una cuenta con credenciales de administrador de organización.

Para ejecutar CreateLcsOuPermissions mediante LcsCmd.exe1. Inicie una sesión en un equipo unido al dominio con una cuenta que tenga

credenciales de administrador de dominio o equivalentes.

2. Ejecute:

LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CreateLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:<type of object to create Office Communications Server ACEs for – user, InetOrgPerson, contact>

Por ejemplo:

LcsCmd.exe /domain /action:CreateLcsOuPermissions /ou:”OU=usersOU” /objectType:user

3. Compruebe que el procedimiento CreateLcsOuPermissions se ha realizado correctamente; para ello, compruebe que el archivo de registro LcsCmd indica “Correcto” y que no contiene errores. También puede ejecutar: LcsCmd.exe /domain[:<FQDN of domain where the OUs are located>] /action:CheckLcsOuPermissions /ou:<DN name for the OU container relative to the domain root container DN> /objectType:<type of object – user, InetOrgPerson, contact>


Establecer permisos en los contenedores Computer después de ejecutar Preparar el dominio

Con Active Directory bloqueado, durante el paso Preparar el dominio no se establecen las entradas ACE necesarias en los contenedores Computer del dominio si está deshabilitada la herencia de permisos.

Después de ejecutar Preparar el dominio en un dominio, ejecute CreateLcsOuPermissions en cada contenedor con equipos que ejecuten Office Communications Server que tengan deshabilitada la herencia de permisos. Este procedimiento agrega las entradas ACE necesarias directamente en los contenedores especificados. Cuando ejecute CreateLcsOuPermissions, especifique el tipo de objeto con el parámetro /objecttype.

Se necesitan credenciales de administrador de dominio para ejecutar este procedimiento. Si también se han quitado las entradas ACE de usuarios autenticados, debe conceder a esta cuenta acceso de lectura a las entradas ACE en los contenedores relevantes del dominio raíz del bosque, como se describió anteriormente en “Caso 1: se quitan los permisos de usuarios autenticados”, o utilizar una cuenta con credenciales de administrador de organización.

Para establecer las entradas ACE necesarias en los contenedores Computer1. Inicie una sesión en el equipo del dominio con una cuenta que tenga las credenciales

indicadas anteriormente.

2. Ejecute:

LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CreateLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>

Por ejemplo:

LcsCmd.exe /domain:resources.corp.woodgrovebank.com /action:CreateLcsOuPermissions /ou:”OU=computersOU” /objectType:computer


3. Compruebe que el procedimiento CreateLcsOuPermissions se ha realizado correctamente; para ello, compruebe que el archivo de registro LcsCmd indica “Correcto” y que no contiene errores. También puede ejecutar:

LcsCmd.exe /domain[:<FQDN of domain where the computer OU is located>] /action:CheckLcsOuPermissions /ou:<DN name for the computer OU container relative to the domain root container DN> /objectType:<computer>

NotaSi ejecuta Preparar el dominio en el dominio raíz del bosque en un entorno con Active Directory bloqueado, tenga en cuenta que Office Communications Server necesita tener acceso a los contenedores Schema y Configuration en Active Directory.Si se quita el permiso de usuario autenticado predeterminado de los contenedores Schema o Configuration en Active Directory, sólo los administradores de esquema o los administradores de organización podrán tener acceso a estos contenedores. Puesto que Setup.exe, LcsCmd.exe y el complemento administrativo necesitan tener acceso a estos contenedores, el programa de instalación y la instalación de las herramientas administrativas no se podrán ejecutar a menos que el usuario que ejecuta la instalación tenga credenciales de administrador de esquema y de administrador de organización.Para solucionar esta situación, deberá conceder al grupo RTCUniversalGlobalReadyOnly acceso a los contenedores Schema y Configuration.

microsoft office communications server 2007 active ... · web viewoffice communications server 2007...

Documents