CRM 3.0 и AD - права пользователя на домен!?!

[Lemming]

Добрый день, коллеги!

Устанавливаю CRM 3.0. В самом старте экспериментов, когда на машине, которую отвели под первые шаги, был поднят контроллер домена, никаких проблем не было. Все установилось и работало. Установка произвадилась с правами локального админа. Сейчас требуется развернуть CRM в существующем рабочем домене, но появилась одна проблема. Сервер устанавливаю под пользователем домена, который имеет права локального администратора для данной машины, однако при тестировании среды, перед стартом установки, CRMка выдает вот такую вот ошибку "The following permissions are required for organizational unit and all child objects: read, write, modify permissions, create child objects, all extended rights. Current user does not have these permissions for the Active Directory Organizational Unit: DC=**,DC=****,DC=***". При попытке пообщатся с ТЦ на тему выделения моему пользователю дополнительных прав на AD, нас попросили обосновать зачем нужны такие высокие права и прочее. Сижу, читаю доку, пытаюсь отыскать что нить, что послужило бы обоснованием, покамест не очень успешно Если кто вдруг сталкивался с подобной ошибкой или кто либо знает что конкретно CRM делает со службой каталогов AD/может ткнуть носом в доку, где это можно прочитать, буду очень благодарен за любую инфу.

Спасибо!

[Lemming]

Ситуация немного прояснилась...В документации вычитал, что перед установкой нужно зайти в систему под пользователем, который имеет права Domain Administrators , но теперь возникает следующий вопрос: требуется ли это исключительно для установки или сам CRM сервер должен работать под пользователем, с правами Domain Admininistrators ?

Заранее спасибо за любую инфу!

[KomatoZo]

Lemming, насколько я помню, нужно ставить только с такими полномочиями. Причем даже не полномочия администратора домена, а локальный админ + делегированный контроль над OU.
А дальше и без них работается отлично =)

[mystic]

Мы всегда ставимм с такими правами (если нет ограничений Заказчика):
Администратора локального компьютера (Local Administrator).
Доменного Администратора (Domain Admin)
Провереноо - ставится без проблем.
Дальше в качестве сервисного логина удобно использовать акаунт с такими же провами (будет меньше проблем), подтверждено Microsoft (см. страница 11-14 IG). Хотя это может привести к некоторым потенциальным рискам безопасности.

[AndreyS]

Можно установить Microsoft CRM даже, если у пользователя нет прав Domain Admin. Например, если делегировать полномочия этому пользователю на отдельный контейнер - OU. Дело в том, что при установке производится создание новых групп в AD, для чего пользователь должен обладать определенными правами.

Андрей

[Lemming]

Цитата:

Сообщение от AndreyS

Можно установить Microsoft CRM даже, если у пользователя нет прав Domain Admin. Например, если делегировать полномочия этому пользователю на отдельный контейнер - OU. Дело в том, что при установке производится создание новых групп в AD, для чего пользователь должен обладать определенными правами.

1.Ок, допустим нам выделят специальную учетную запись. На время установки делегируют необходимые права. По окончанию установки эти права заберут. Мы создадим в CRM учетную запись администратора, который в Домене обладает обычными правами пользователя. При создании новых пользователей в CRM и ассоциировании этих пользователей, с пользователем домена. Доменному пользователю назначаются(то что удалось выяснить при первых экспериментах) группы ReportingGroup~, UserGroup~. Сервисы CRM работают с правами network service. Я ввожу нового пользователя, по логике вещей ему в AD должны назначится эти две группы. Но ведь у моего админского логина нет прав на манипуляцию структурой AD, так же как и у служб нет таких прав. Каким образом назначатся указанные группы, в структуре AD?

Или скажем так: какими правами в домене должна обладать учетная запись администратора? И требуются ли какие либо привелигированные права для админского аккаунта MS CRM?

2. После установки в дереве AD создается пользователь(группа на самом деле) с именем CRM_WPG и типом «Security Group - Domain Local» . Эту группа не является
членом других групп, она не назначается пользователям, в общем,на первый взгляд, просто появляется после установки. Кто либо знает предназначение этой группы? Для чего она создается в дереве AD и как будет использоваться?

p.s. Вопросы возможно несколько странные, но требуется включить в рабочий домен CRM, а господа, админящие этот домен, начали серьезно беспокоиться, что какой-то "програмке" нужны какие-то привилегии на домен. И засыпают всяческими вопросами Без ответов на их вопросы, установка увы пробуксовывает

Спасибо!

[bezludnev]

что нужно создавать в AD чтобы установка прошла успешно...

я создал CRM и Accouts Service два OU
в Accouts Service два пользователя;
SQLSVC - его я при установке назначал для sql server
Dynamics admin - его использовал для установки срм

при запросе CRM при установке выбрал OU - CRM

выдает ошибку на этапе установки копонентов.

зы установка срм была без подключения к интернету, так как в компани весь нет через прокси.

зыы точно такие же куча вопросов и косые взгляды от админов AD

что делать? напишите поэтапно как устранить проблему, уже 3 неделю ставлю CRM