3.5 DRA 管理伺服器、Web 主控台和 REST 延伸功能要求

DRA 元件需要下列軟體和帳戶:

3.5.1 軟體要求

元件

先決條件

安裝目標

作業系統

NetIQ 管理伺服器作業系統:

  • Microsoft Windows Server 2012 R2、2016、2019

    附註:伺服器也必須是受支援的 Microsoft 內部部署 Active Directory 網域的成員。

DRA 介面:

  • Microsoft Windows Server 2012 R2、2016、2019

  • Microsoft Windows 8.1 (x86 & x64)、10 (x86 & x64)

安裝程式

  • Microsoft .Net Framework 4.6.2 和更新版本

管理伺服器

Directory and Resource Administrator:

  • Microsoft .Net Framework 4.6.2 和更新版本

  • Microsoft Visual C++ 2013 可轉散發套件 (x64) 和 Microsoft Visual C++ 2017 (Update 3) 可轉散發套件 (x64 和 x86)

  • Microsoft Message Queuing

  • Microsoft Active Directory 輕量型目錄服務角色

  • 已啟動的遠端登錄服務

  • Microsoft Internet Information Services URL Rewrite Module

  • Microsoft Internet Information Services 應用程式要求路由

Microsoft Office 365/Exchange Online 管理:

  • 適用於 Windows PowerShell 的 Windows Azure Active Directory 模組

  • 商務用 Skype Online、Windows PowerShell 模組

如需詳細資訊,請參閱支援的平台

使用者介面

DRA 介面:

  • Microsoft .NET Framework 4.6.2

  • Microsoft Visual C++ 2017 (Update 3) 可轉散發套件 (x64 和 x86)

DRA 主機服務

  • Microsoft .NET Framework 4.6.2

  • DRA 管理伺服器

DRA REST 端點和服務

  • Microsoft .NET Framework 4.6.2

PowerShell 延伸功能

  • Microsoft .NET Framework 4.6.2

  • PowerShell 5.1 或更新版本

DRA Web 主控台

Web 伺服器:

  • Microsoft .Net Framework 4.x > WCF 服務 > HTTP 啟動

  • Microsoft Internet Information Server 8.0、8.5、10

  • Microsoft Internet Information Services URL Rewrite Module

  • Microsoft Internet Information Services 應用程式要求路由

Microsoft IIS 元件:

  • 網路伺服器

    • 通用 HTTP 功能

      • 靜態內容

      • 預設文件

      • 目錄瀏覽器

      • HTTP 錯誤

    • 應用程式開發

      • ASP

    • 狀態及診斷

      • HTTP 記錄

      • 申請監視器

    • 安全性

      • 基本驗證

    • 效能

      • 靜態內容壓縮

  • Web 伺服器管理工具

3.5.2 伺服器領域

元件

作業系統

DRA 伺服器

  • Microsoft Windows Server 2019

  • Microsoft Windows Server 2016

  • Microsoft Windows Server 2012 R2

3.5.3 帳戶需求

帳戶

描述

許可權

AD LDS 群組

必須將 DRA 服務帳戶新增至此群組才能存取 AD LDS

  • 網域本機安全性群組

DRA 服務帳戶

執行 NetIQ 管理服務所需的許可權

  • 適用於「Distributed COM Users」許可權

  • AD LDS 管理員群組的成員

  • 帳戶操作員群組

  • 記錄歸檔群組 (OnePointOp ConfgAdms & OnePointOp)

  • 如果在使用 STIG 方法的伺服器上安裝 DRA,則必須為 DRA 服務帳戶使用者選取下列「帳戶」索引標籤 > 帳戶選項之一:

    • Kerberos AES 128 位元加密

    • Kerberos AES 256 位元加密

附註:

  • 如需設定最低權限網域存取帳戶的相關資訊,請參閱:最低權限 DRA 存取帳戶

  • 如需設定 DRA 群組受管理服務帳戶的相關資訊,請參閱:「設定群組受管理服務帳戶的 DRA 服務」

DRA 管理員

佈建給內建 DRA 管理員角色的使用者帳戶或群組

  • 網域本機安全性群組或網域使用者帳戶

  • 管理的網域或受信任的網域的成員

    • 如果您從受信任的網域指定帳戶,請確定管理伺服器電腦可以驗證此帳戶。

DRA Assistant Admin 帳戶

透過 DRA 來委託權限的帳戶

  • 將所有 DRA Assistant Admin 帳戶新增至「Distributed COM Users」群組,讓他們可以從遠端用戶端連接至 DRA 伺服器。僅在您使用複雜用戶端或「委託和組態」主控台時需要。

    附註:在安裝期間可設定 DRA 來替您管理這方面。

3.5.4 最低權限 DRA 存取帳戶

以下是指定的帳戶所需的許可和權限,以及您需要執行的組態指令。

網域存取帳戶: 使用 ADSI 編輯器,針對下列子系物件類型,以最高網域層級授予網域存取帳戶下列 Active Directory 許可:

  • 「完整」控制 builtInDomain 物件

  • 「完整」控制電腦物件

  • 「完整」控制連接點物件

  • 「完整」控制聯絡人物件

  • 「完整」控制容器物件

  • 「完整」控制群組物件

  • 「完整」控制 InetOrgPerson 物件

  • 「完整」控制 MsExchDynamicDistributionList 物件

  • 「完整」控制 MsExchSystemObjectsContainer 物件

  • 「完整」控制組織單位物件

  • 「完整」控制印表機物件

  • 「完整」控制 publicFolder 物件

  • 「完整」控制共用資料夾物件

  • 「完整」控制使用者物件

針對此物件和所有子系物件,以最高網域層級授予網域存取帳戶下列 Active Directory 許可:

  • 允許建立電腦物件

  • 允許建立聯絡人物件

  • 允許建立容器物件

  • 允許建立群組物件

  • 允許建立 MsExchDynamicDistiributionList 物件

  • 允許建立組織單位物件

  • 允許建立 publicFolders 物件

  • 允許建立共用資料夾物件

  • 允許建立使用者物件

  • 允許刪除電腦物件

  • 允許刪除聯絡人物件

  • 允許刪除容器

  • 允許刪除群組物件

  • 允許刪除 InetOrgPerson 物件

  • 允許刪除 MsExchDynamicDistiributionList 物件

  • 允許刪除組織單位物件

  • 允許刪除 publicFolders 物件

  • 允許刪除共用資料夾物件

  • 允許刪除使用者物件

附註:

  • 依預設,部分 Active Directory 中的內建容器物件不會從網域最高層級繼承許可。基於此原因,這些物件需要啟用繼承或設定特定託管許可。

  • 如果 REST 伺服器沒有與 DRA 管理伺服器安裝在同一個伺服器上,執行中的 REST 服務帳戶必須能完整控制 Active Directory 中的 REST 伺服器。例如,設定「完整」控制 CN=DRARestServer,CN=System,DC=myDomain,DC=com

Exchange 存取帳戶: 若要管理內部部署 Microsoft Exchange 物件,請將「組織管理」角色指派給 Exchange 存取帳戶,並將 Exchange 存取帳戶指派給「帳戶操作員」群組。

Skype 存取帳戶: 確保此帳戶為可使用 Skype 的使用者,且至少為下列其中一個角色的成員:

  • CSAdministrator 角色

  • CSUserAdministrator 與 CSArchiving 角色

公用資料夾存取帳戶: 將下列 Active Directory 許可指定給公用資料夾存取帳戶:

  • 公用資料夾管理

  • 已啟用郵件功能的公用資料夾

Azure 租用戶存取帳戶: 將下列 Azure Active Directory 許可指定給 Azure 租用戶存取帳戶:

  • 分發群組

  • 郵件收件人

  • 郵件收件人建立

  • 安全性群組建立和成員資格

  • (選用) 商務用 Skype 管理員

    如果您想要管理商務用 Skype Online,請將商務用 Skype 管理員權限指派給 Azure 租用戶存取帳戶。

  • 使用者管理員

NetIQ 管理服務帳戶許可:

  • 本機管理員

  • 將佈建主目錄的共用資料夾或 DFS 資料夾上的「完整許可」,授予最低權限覆寫帳戶。

  • 資源管理:若要管理受管理 Active Directory 網域中的已發佈資源,必須授予網域存取帳戶對該資源的本機管理許可。

DRA 安裝之後: 在已新增或由 DRA 管理要求的網域後,請執行下列命令:

  • 若要從 DRA 安裝資料夾將許可委託給「刪除的物件容器」(注意:必須由網域管理員執行此指令):

    DraDelObjsUtil.exe /domain:<NetbiosDomainName> /delegate:<Account Name>

  • 若要從 DRA 安裝資料夾將許可委託給「NetIQReceyleBin OU」:

    DraRecycleBinUtil.exe /domain:<NetbiosDomainName> /delegate:<AccountName>

遠端存取 SAM: 指派網域控制器或由 DRA 管理的成員伺服器以啟用下方 GPO 中所列的帳戶,讓這些帳戶可以對安全性帳戶管理員 (SAM) 的資料庫進行遠端查詢。組態需要包含 DRA 服務帳戶。

網路存取:限制允許對 SAM 進行遠端通話的用戶端

若要存取此設定,請執行下列動作:

  1. 開啟網域控制器上的「群組規則管理」主控台。

  2. 展開節點樹狀結構中的 Domains > [domain controller] > Group Policy Objects (網域 > [網域控制器] > 群組規則物件)。

  3. Default Domain Controllers Policy (預設網域控制器規則) 上按一下滑鼠右鍵,然後選取 Edit (編輯) 以開啟此規則的 GPO 編輯器。

  4. 展開 GPO 編輯器的節點樹狀結構中的 Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies (電腦組態 > 規則 > Windows 設定 > 安全性設定 > 本機規則)。

  5. 按兩下規則窗格中的 Network access: Restrict clients allowed to make remote calls to SAM (網路存取:限制允許對 SAM 進行遠端通話的用戶端),然後選取 Define this policy setting (定義此規則設定)。

  6. 按一下遠端存取的 Edit Security (編輯安全性) 並啟用 Allow (允許)。如果尚未將 DRA 服務帳戶包含作為使用者或管理群組的一部份,請加以新增。

  7. 套用變更。這會將安全性描述子 O:BAG:BAD:(A;;RC;;;BA) 新增至規則設定。

如需更多資訊,請參閱知識庫文章 7023292