DRA 元件需要下列軟體和帳戶:
元件 |
先決條件 |
---|---|
安裝目標 作業系統 |
NetIQ 管理伺服器作業系統:
DRA 介面:
|
安裝程式 |
|
管理伺服器 |
Directory and Resource Administrator:
Microsoft Office 365/Exchange Online 管理:
如需詳細資訊,請參閱支援的平台。 |
使用者介面 |
DRA 介面:
|
DRA 主機服務 |
|
DRA REST 端點和服務 |
|
PowerShell 延伸功能 |
|
DRA Web 主控台 |
Web 伺服器:
Microsoft IIS 元件:
|
元件 |
作業系統 |
---|---|
DRA 伺服器 |
|
帳戶 |
描述 |
許可權 |
---|---|---|
AD LDS 群組 |
必須將 DRA 服務帳戶新增至此群組才能存取 AD LDS |
|
DRA 服務帳戶 |
執行 NetIQ 管理服務所需的許可權 |
附註:
|
DRA 管理員 |
佈建給內建 DRA 管理員角色的使用者帳戶或群組 |
|
DRA Assistant Admin 帳戶 |
透過 DRA 來委託權限的帳戶 |
|
以下是指定的帳戶所需的許可和權限,以及您需要執行的組態指令。
網域存取帳戶: 使用 ADSI 編輯器,針對下列子系物件類型,以最高網域層級授予網域存取帳戶下列 Active Directory 許可:
「完整」控制 builtInDomain 物件
「完整」控制電腦物件
「完整」控制連接點物件
「完整」控制聯絡人物件
「完整」控制容器物件
「完整」控制群組物件
「完整」控制 InetOrgPerson 物件
「完整」控制 MsExchDynamicDistributionList 物件
「完整」控制 MsExchSystemObjectsContainer 物件
「完整」控制組織單位物件
「完整」控制印表機物件
「完整」控制 publicFolder 物件
「完整」控制共用資料夾物件
「完整」控制使用者物件
針對此物件和所有子系物件,以最高網域層級授予網域存取帳戶下列 Active Directory 許可:
允許建立電腦物件
允許建立聯絡人物件
允許建立容器物件
允許建立群組物件
允許建立 MsExchDynamicDistiributionList 物件
允許建立組織單位物件
允許建立 publicFolders 物件
允許建立共用資料夾物件
允許建立使用者物件
允許刪除電腦物件
允許刪除聯絡人物件
允許刪除容器
允許刪除群組物件
允許刪除 InetOrgPerson 物件
允許刪除 MsExchDynamicDistiributionList 物件
允許刪除組織單位物件
允許刪除 publicFolders 物件
允許刪除共用資料夾物件
允許刪除使用者物件
附註:
依預設,部分 Active Directory 中的內建容器物件不會從網域最高層級繼承許可。基於此原因,這些物件需要啟用繼承或設定特定託管許可。
如果 REST 伺服器沒有與 DRA 管理伺服器安裝在同一個伺服器上,執行中的 REST 服務帳戶必須能完整控制 Active Directory 中的 REST 伺服器。例如,設定「完整」控制 CN=DRARestServer,CN=System,DC=myDomain,DC=com
Exchange 存取帳戶: 若要管理內部部署 Microsoft Exchange 物件,請將「組織管理」角色指派給 Exchange 存取帳戶,並將 Exchange 存取帳戶指派給「帳戶操作員」群組。
Skype 存取帳戶: 確保此帳戶為可使用 Skype 的使用者,且至少為下列其中一個角色的成員:
CSAdministrator 角色
CSUserAdministrator 與 CSArchiving 角色
公用資料夾存取帳戶: 將下列 Active Directory 許可指定給公用資料夾存取帳戶:
公用資料夾管理
已啟用郵件功能的公用資料夾
Azure 租用戶存取帳戶: 將下列 Azure Active Directory 許可指定給 Azure 租用戶存取帳戶:
分發群組
郵件收件人
郵件收件人建立
安全性群組建立和成員資格
(選用) 商務用 Skype 管理員
如果您想要管理商務用 Skype Online,請將商務用 Skype 管理員權限指派給 Azure 租用戶存取帳戶。
使用者管理員
NetIQ 管理服務帳戶許可:
本機管理員
將佈建主目錄的共用資料夾或 DFS 資料夾上的「完整許可」,授予最低權限覆寫帳戶。
資源管理:若要管理受管理 Active Directory 網域中的已發佈資源,必須授予網域存取帳戶對該資源的本機管理許可。
DRA 安裝之後: 在已新增或由 DRA 管理要求的網域後,請執行下列命令:
若要從 DRA 安裝資料夾將許可委託給「刪除的物件容器」(注意:必須由網域管理員執行此指令):
DraDelObjsUtil.exe /domain:<NetbiosDomainName> /delegate:<Account Name>
若要從 DRA 安裝資料夾將許可委託給「NetIQReceyleBin OU」:
DraRecycleBinUtil.exe /domain:<NetbiosDomainName> /delegate:<AccountName>
遠端存取 SAM: 指派網域控制器或由 DRA 管理的成員伺服器以啟用下方 GPO 中所列的帳戶,讓這些帳戶可以對安全性帳戶管理員 (SAM) 的資料庫進行遠端查詢。組態需要包含 DRA 服務帳戶。
網路存取:限制允許對 SAM 進行遠端通話的用戶端
若要存取此設定,請執行下列動作:
開啟網域控制器上的「群組規則管理」主控台。
展開節點樹狀結構中的 Domains > [domain controller] > Group Policy Objects (網域 > [網域控制器] > 群組規則物件)。
在 Default Domain Controllers Policy (預設網域控制器規則) 上按一下滑鼠右鍵,然後選取 Edit (編輯) 以開啟此規則的 GPO 編輯器。
展開 GPO 編輯器的節點樹狀結構中的 Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies (電腦組態 > 規則 > Windows 設定 > 安全性設定 > 本機規則)。
按兩下規則窗格中的 Network access: Restrict clients allowed to make remote calls to SAM (網路存取:限制允許對 SAM 進行遠端通話的用戶端),然後選取 Define this policy setting (定義此規則設定)。
按一下遠端存取的 Edit Security (編輯安全性) 並啟用 Allow (允許)。如果尚未將 DRA 服務帳戶包含作為使用者或管理群組的一部份,請加以新增。
套用變更。這會將安全性描述子 O:BAG:BAD:(A;;RC;;;BA) 新增至規則設定。
如需更多資訊,請參閱知識庫文章 7023292。