Oppsett av Cerebrums brukere i Exchange

Dokument som beskriver kva som trengs å gjerast på Windows- og AD-sida for integrasjon med Cerebrum. Inneheld både forberedingar og innstillingar for AD-domenet og oppsett av Windows-maskin som Cerebrum skal snakke med.

1   Brukerkontoer som trengs

For at Cerebrum skal kunne integrere med Exchange, trengs følgende kontoer:

  • cereauth

    Maskin-lokal bruker på springbrettmaskinen, som Cerebrum benytter til å opprette en WinRM-tilkobling mot Exchange-miljøet.

  • cereex Domene-lokal bruker, med privilegier til å opprette mailboxer, distribusjonsgrupper og sikkerhetsgrupper i Exchange. Det må klarlegges om denne kontoen skal få lov til lage sikkerhetsgrupper

  • cereexad Domene-global bruker, med rettigheter til å lese ut informasjon om brukere fra hoved-AD, såkalt «discover». Det må klarlegges om denne kontoen må kunne lese ut informasjon om mer en bare brukere

2   Kontoene tilgangsrettigheter

2.1   cereauth

Kontoen må være lokal-administrator.

2.2   cereex

I hht. HOW TO ENABLE REMOTING FOR NON-ADMINISTRATIVE USERS-avsnittet på http://technet.microsoft.com/en-us/library/hh847850.aspx, kan brukeren få tilgang til å opprette PSSessions hvis den meldes inn i gruppen Remote management Users på management maskinen.

Brukeren må ha Allow Logon Locally.

Videre trenger brukeren tilgangene som defineres av rollegruppen Cerebrum-integration i Exchange. Denne rollegruppa har rettighetene:

  1. Address Lists
  2. Distribution Groups
  3. Mail Recipient Creation
  4. Mail Recipients
  5. Mailbox Import Export
  6. Remote and Accepted Domains (TODO: Trenger vi denne?)
  7. Security Group Creation and Membership
  8. View-only Recipients (TODO: Trenger vi denne?)

Det må delegeres mulighet til å opprette, slette og modifisere grupper. Dette gjøres ved å høyreklikke Users-mappen i ADUaC, velge Delegate Control…, for så å velge informasjonen dialogboksene spør etter. Når du har gjort dette, vil du ende opp med følgende tekstlige beskrivelse:

You chose to delegate control of objects
in the following Active Directory folder:

    exutv.uio.no/cerebrum

    The groups, users, or computers to which you
    have given control are:

        cereex (cereex@exutv.uio.no)

        You chose to delegate the following tasks:

            Create, delete and manage groups
                Modify the membership of a group

2.3   Skjemaendringer

Man vil ønske å gjøre noen skjemaendringer, f.eks. lage Containers til å ha brukere og grupper og sånn i.

  1. Start Adsiedit.msc
  2. Høyreklikk ADSI Edit
  3. Velg Connect to…
  4. Velg Schema fra Select a well known Naming Context flervalgsmenyen
  5. Finn CN=Container under CN=Schema,…
  6. Åpne Properties for denne
  7. Sett verdien DefaultHidingValue til False

Nå kan du opprette Containere i ADUaC (høyreklikk noe på domenet ditt).

Av jsama
Publisert 9. mai 2014 08:14
Del på e-post