Kenntnisstand

Juli 2021

In diesem Artikel wird erklärt, wie die UCServer Benutzerverwaltung im Microsoft Active Directory genutzt werden kann, dem UCServer aber nicht globale Schreibrechte für das Active Directory eingeräumt werden sollen.

Der Artikel zeigt ausserdem, wie unterschiedliche ProCall Versionen und Active Directory Schemaerweiterung kombiniert werden können. 

Eine einmal installierte Schemaerweiterung kann nicht wieder zurückgenommen werden!

Für welche AD Felder sind Schreibrechte notwendig?  

Dieser Artikel erklärt, welche Lese- bzw. Schreibrechte der UCServer in Abhängigkeit von einer ggf. durchgeführten Schemaerweiterung benötigt. 

Grundsätzlich ist zu unterscheiden, ob die estos Schemaerweiterung im Einsatz ist und ob Schreibzugriff auf die AD Standardattribute gewährt wird.

Übersicht UCServer Zugriff 

Die folgende Übersicht zeigt die Konfigurationsmöglichkeiten für die Zugriffsrechte des UCServers auf das Active Directory:

Übersichtsgrafik

Konfiguration des Write Access für Standardattribute im UCServer

Der Schreibzugriff auf AD Standardattribute kann in der UCServer Verwaltung wie folgt aktiviert (Standard) bzw. deaktiviert werden:

Allgemein - Benutzerdatenbank - LDAP Rufnummern Attribute - Erweitert

Beispiel Screenshot UCServer Verwaltung - Allgemein - Benutzerdatenbank - LDAP Schreibzugriff


Hinweise zur Schemareferenz und eine ausführliche Übersicht der Attribute finden Sie in der Dokumentation der aktuellen ProCall Version 

Schreibrechte für die Attribute extensionName und proxyAddresses delegieren

Dieser Eingriff in die Microsoft Active Directory Konfiguration sollte nur von erfahrenen Personal durchgeführt werden.

Die Schreibrechte für die Attribute extensionName und proxyAddresses können nicht über die Benutzeroberfläche der Konsole "Active Directory-Benutzer und -Computer" ohne tiefgreifende Konfigurationsanpassungen am Microsoft Active Directory vorgenommen werden. Sie müssen daher den Schreibzugriff auf diese Attribute des Microsoft Active Directory-Benutzerobjekts (Grant account write access to specific attributes on Active Directory User object) explizit freischalten.

Nähere Informationen sind hier zu finden (nur in english verfügbar): https://serverfault.com/questions/151919/grant-account-write-access-to-specific-attributes-on-active-directory-user-objec/797516


Ohne Schemaerweiterung

Wird keine Schemaerweiterung verwendet, benötigt der Benutzer, der über den UCServer auf das AD zugreift, Schreibberechtigung auf extensionName und proxyAddresses.

Bei Nutzung des Attributs extensionName können möglicherweise Performance-Einbußen auftreten, da das Attribut extensionName nur ein Feld ist, in dem bei jeder Anfrage eine Volltextsuche durchgeführt werden muss.

Kombination von Schemaerweiterung mit unterschiedlichen ProCall Versionen

AD - PCE6 - PCE4

Ist es möglich, ein Active Directory in eine ProCall Enterprise 6 Installation zu integrieren, das mit der Schemaerweiterung aus ProCall Enterprise 4 läuft? 

Antwort: Nein.
Dies ist nicht möglich, da der UCServer von ProCall Enterprise 6 einige neue Felder benutzt, die in vorhergehenden Versionen nicht verfügbar waren.   

AD - PCE5 - PCE4

Ist es möglich, ein Active Directory in eine ProCall Enterprise 5 Installation zu integrieren, das mit der Schemaerweiterung aus ProCall Enterprise 4 läuft? 

Antwort: Nicht empfohlen.
Dies wäre prinzipiell möglich, da keine neuen Felder im Update von ProCall Enterprise von Version 4 auf 5 hinzugekommen sind. estos empfiehlt ausdrücklich, die Schemaerweiterung von estos ProCall Enterprise 5 durchzuführen, um mögliche Fehlerquellen auszuschließen.

AD - PCE5 - PCE6

Ist es möglich, ein Active Directory in eine ProCall Enterprise 5 Installation zu integrieren, das mit der Schemaerweiterung aus ProCall Enterprise 6 läuft? 

Antwort: Nicht empfohlen.
Dies wäre prinzipiell möglich, da in der Schemaerweiterung von ProCall Enterprise beim Versionswechsel lediglich Felder hinzukamen. Dieses Szenario ist von estos nicht empfohlen und wird nicht supported.

AD - PCE gleicher Versionsstand

Ist es möglich, mit zwei oder mehreren UCServern des gleichen Versionsstandes parallel ein Active Directory zu nutzen?

Antwort: Ja.
Dies ist grundsätzlich möglich. Wichtig ist hierbei, dass es sich um zwei getrennte ProCall Enterprise Installationen handelt und es keine Überschneidungen gibt z. B. bei übergreifenden Berechtigungen auf Gruppen-Ebene. Zu beachten ist aber, dass ein ProCall Benutzer nur auf einem Server aktiv sein und sich dort anmelden kann.