DRA 元件需要下列軟體和帳戶:
元件 |
先決條件 |
---|---|
安裝目標 作業系統 |
NetIQ 管理伺服器作業系統:
DRA 介面:
|
安裝程式 |
|
管理伺服器 |
Directory and Resource Administrator:
Microsoft Office 365/Exchange Online 管理:
如需詳細資訊,請參閱支援的平台。 |
使用者介面 |
DRA 介面:
|
DRA 主機服務 |
|
DRA REST 端點和服務 |
|
PowerShell 延伸功能 |
|
DRA Web 主控台 |
Web 伺服器:
Microsoft IIS 元件:
|
元件 |
作業系統 |
---|---|
DRA 伺服器 |
|
帳戶 |
描述 |
許可權 |
---|---|---|
AD LDS 群組 |
必須將 DRA 服務帳戶新增至此群組才能存取 AD LDS |
|
DRA 服務帳戶 |
執行 NetIQ 管理服務所需的許可權 |
附註:
|
DRA 管理員 |
佈建給內建 DRA 管理員角色的使用者帳戶或群組 |
|
DRA 助理管理員帳戶 |
將透過 DRA 來委託權限的帳戶 |
|
以下是指定的帳戶所需的許可和權限,以及您需要執行的組態指令。
網域存取帳戶: 使用 ADSI 編輯在最高網域層級針對下列後代物件類型,授予網域存取帳戶下列 Active Directory 許可:
完整控制 builtInDomain 物件
完整控制電腦物件
完整控制連接點物件
完整控制聯絡人物件
完整控制容器物件
完整控制群組物件
完整控制 InetOrgPerson 物件
完整控制 MsExchDynamicDistributionList 物件
完整控制 MsExchSystemObjectsContainer 物件
完整控制組織單位物件
完整控制印表機物件
完整控制 publicFolder 物件
完整控制共享資料夾物件
完整控制使用者物件
在最高網域層級針對此物件和所有後代物件,授予網域存取帳戶下列 Active Directory 許可:
允許建立電腦物件
允許建立聯絡人物件
允許建立容器物件
允許建立群組物件
允許建立 MsExchDynamicDistiributionList 物件
允許建立組織單位物件
允許建立 publicFolders 物件
允許建立共享資料夾物件
允許建立使用者物件
允許刪除電腦物件
允許刪除聯絡人物件
允許刪除容器
允許刪除群組物件
允許刪除 InetOrgPerson 物件
允許刪除 MsExchDynamicDistributionList 物件
允許刪除組織單位物件
允許刪除 publicFolders 物件
允許刪除共享資料夾物件
允許刪除使用者物件
附註:
依預設,Active Directory 中的部分 Builtin 容器物件不會從網域的最高層級繼承許可。基於此原因,這些物件將需要啟用繼承,或是設定明確許可。
如果未在與 DRA 管理伺服器相同的伺服器上安裝 REST 伺服器,則執行中的 REST 服務帳戶必須對 Active Directory 中的 REST 伺服器具有完整控制權。例如,設定對 CN=DRARestServer,CN=System,DC=myDomain,DC=com 的完整控制
Exchange 存取帳戶: 若要管理內部部署 Microsoft Exchange 物件,請將組織管理角色指定給 Exchange 存取帳戶,以及將 Exchange 存取帳戶指定給帳戶操作人員群組。
Skype 存取帳戶: 確保此帳戶為可使用 Skype 的使用者,且至少為下列其中一個角色的成員:
CSAdministrator 角色
CSUserAdministrator 與 CSArchiving 角色
公用資料夾存取帳戶: 將下列 Active Directory 許可指定給公用資料夾存取帳戶:
公用資料夾管理
已啟用郵件功能的公用資料夾
Azure 租用戶存取帳戶: 將下列 Azure Active Directory 許可指定給 Azure 租用戶存取帳戶:
分發群組
郵件收件者
郵件收件者建立
安全性群組建立和成員資格
(選用) 商務用 Skype 管理員
如果您要管理商務用 Skype Online,請將商務用 Skype 管理員權限指定給 Azure 租用戶存取帳戶。
使用者管理員
NetIQ 管理服務帳戶許可:
本機管理員
將佈建主目錄的共享資料夾或 DFS 資料夾上的「完整許可」,授予最低權限覆寫帳戶。
資源管理:若要在受管理 Active Directory 網域內管理發佈的資源,網域存取帳戶必須獲授予這些資源的本機管理許可權。
DRA 安裝之後: 將必要網域新增或由 DRA 管理之後,執行下列指令:
若要從 DRA 安裝資料夾,將許可委託給「刪除的物件容器」(注意:必須由網域管理員執行此指令):
DraDelObjsUtil.exe /domain:<NetbiosDomainName> /delegate:<Account Name>
若要從 DRA 安裝資料夾對「NetIQReceyleBin OU」委託許可:
DraRecycleBinUtil.exe /domain:<NetbiosDomainName> /delegate:<AccountName>
遠端存取 SAM: 指定網域控制器,或由 DRA 管理的成員伺服器,以啟用在 GPO 設定中所列的以下帳戶,讓它們可對安全性帳戶管理員 (SAM) 的資料庫進行遠端查詢。組態需要包含 DRA 服務帳戶。
網路存取:限制允許對 SAM 進行遠端呼叫的用戶端
若要存取此設定,請執行下列操作:
在網域控制器上開啟群組規則管理主控台。
在節點樹狀結構中展開「網域 > [網域控制器] > 群組規則物件」。
以滑鼠右鍵按一下「預設網域控制器規則」,並選取「編輯」以開啟此規則的 GPO 編輯器。
在 GPO 編輯器節點樹狀結構中展開「電腦設定 > 規則 > Windows 設定 > 安全性設定 > 本機規則」。
連按兩下規則窗格中的網路存取:限制允許對 SAM 進行遠端呼叫的用戶端,並選取「定義此規則設定」。
按一下「編輯安全性」並啟用「允許」遠端存取。如果尚未包含為使用者或管理員群組的一部分,請新增 DRA 服務帳戶。
套用變更。這麼做會將安全性描述子 O:BAG:BAD:(A;;RC;;;BA) 新增至規則設定。
如需更多資訊,請參閱知識庫文章 7023292。