Set-CsAdminRole
Letztes Änderungsdatum des Themas: 2012-03-26
Ändert eine bestehende rollenbasierte Zugriffssteuerungsrolle. Mit rollenbasierten Zugriffssteuerungsrollen werden Verwaltungsaufgaben angegeben, die Benutzer ausführen können, und der Gültigkeitsbereich ermittelt, innerhalb dessen Benutzer diese Aufgaben ausführen dürfen.
Syntax
Set-CsAdminRole -Identity <String> [-ConfigScopes <PSListModifier>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-UserScopes <PSListModifier>] [-WhatIf [<SwitchParameter>]]
Detaillierte Beschreibung
Die rollenbasierte Zugriffssteuerung ermöglicht es Administratoren, die Steuerung spezifischer Verwaltungsaufgaben in Microsoft Lync Server 2010 zu delegieren. Anstatt beispielsweise den Helpdeskmitarbeitern Ihrer Organisation vollständige Administratorrechte zu gewähren, können Sie diesen Mitarbeitern spezielle Rechte erteilen: das Recht zur ausschließlichen Verwaltung von Benutzerkonten; das Recht zur ausschließlichen Verwaltung von Enterprise-VoIP-Komponenten; das Recht zur ausschließlichen Verwaltung von Archivierung und Archivierungsserver. Darüber hinaus können Sie den Gültigkeitsbereich dieser Rechte einschränken: Beispielsweise könnten Sie einem Benutzer das Recht zur Verwaltung der Enterprise-VoIP-Anwendung nur für den Standort Redmond erteilen und einem anderen Benutzer das Recht zum Verwalten ausschließlich der Benutzer, deren Benutzerkonten der Organisationseinheit "Finance" angehören.
Die Lync Server 2010-Implementierung der rollenbasierten Zugriffssteuerung basiert auf zwei Hauptelementen: Active Directory-Sicherheitsgruppen und Windows PowerShell-Cmdlets. Beim Installieren von Lync Server 2010 werden verschiedene universelle Sicherheitsgruppen erstellt, darunter "CsAdministrator", "CsArchivingAdministrator" und "CsViewOnlyAdministrator". Diese universellen Sicherheitsgruppen entsprechen jeweils einer spezifischen rollenbasierten Zugriffssteuerungsrolle, d. h., dass jedem Benutzer in der Sicherheitsgruppe "CsArchivingAdministrator" die Rechte der Rolle "CsArchivingAdministrator" erteilt werden. Die einer rollenbasierten Zugriffssteuerungsrolle erteilten Rechte basieren wiederum auf den dieser Rolle zugewiesenen Cmdlets. (Cmdlets können mehreren rollenbasierten Zugriffssteuerungsrollen zugewiesen werden.) Angenommen, einer Rolle wurden die folgenden Cmdlets zugewiesen:
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
Diese Liste enthält nur Cmdlets, die von einem Benutzer mit einer hypothetischen rollenbasierten Zugriffssteuerungsrolle in einer Windows PowerShell-Remotesitzung ausgeführt werden dürfen. Wenn der Benutzer versucht, das Cmdlet Disable-CsUser auszuführen, wird ein Fehler zurückgegeben, da Benutzer mit dieser hypothetischen Rolle nicht berechtigt sind, Disable-CsUser auszuführen. Dies gilt auch für Lync Server-Systemsteuerung. Ein Archivadministrator kann einen Benutzer beispielsweise nicht über die Lync Server-Systemsteuerung deaktivieren, da die Lync Server-Systemsteuerung den rollenbasierten Zugriffssteuerungsrollen unterliegt. (Beim Ausführen eines Befehls in der Lync Server-Systemsteuerung wird tatsächlich ein Windows PowerShell-Cmdlet aufgerufen.) Wenn Sie nicht zum Ausführen von Disable-CsUser berechtigt sind, spielt es keine Rolle, ob Sie das Cmdlet direkt aus Windows PowerShell oder indirekt über die Lync Server-Systemsteuerung ausführen: Es tritt immer ein Fehler auf.
Beachten Sie, dass die rollenbasierte Zugriffssteuerung nur für die Remoteverwaltung gilt. Wenn Sie an einem Computer mit Lync Server 2010 angemeldet sind und die Lync Server-Verwaltungsshell öffnen, werden rollenbasierte Zugriffssteuerungsrollen nicht erzwungen. Stattdessen erfolgt die Erzwingung der Sicherheit primär über die Sicherheitsgruppen "RTCUniversalServerAdmins", "RTCUniversalUserAdmins" und "RTCUniversalReadOnlyAdmins".
Beim Installieren von Lync Server 2010 erstellt das Setupprogramm verschiedene integrierte rollenbasierte Zugriffssteuerungsrollen, die unter anderem allgemeine Verwaltungsbereiche wie VoIP-Verwaltung, Benutzerverwaltung und Reaktionsgruppenverwaltung abdecken. Diese integrierten Rollen können nicht verändert werden. Sie können den Rollen keine Cmdlets hinzufügen oder Cmdlets aus diesen entfernen. Ferner können Sie diese Rollen auch nicht löschen. (Bei dem Versuch, eine integrierte Rolle zu löschen, wird eine Fehlermeldung angezeigt.) Sie können jedoch anhand dieser Rollen benutzerdefinierte rollenbasierte Zugriffssteuerungsrollen erstellen. Diese benutzerdefinierten Rollen können dann geändert werden, indem die Verwaltungsbereiche geändert werden; so können Sie beispielsweise die Rolle auf die Verwaltung von Benutzerkonten in einer bestimmten Active Directory-OU beschränken.
Jede benutzerdefinierte Rolle, die Sie erstellen, muss auf einer Vorlage basieren: auf einer vorhandenen rollenbasierten Zugriffssteuerungsrolle. Um beispielsweise eine Administratorrolle für Einwahlkonferenzen zu erstellen, müssen Sie effektiv eine vorhandene rollenbasierte Zugriffssteuerungsrolle klonen. (Beispielsweise kann die Administratorrolle für Einwahlkonferenzen auf der vorhandenen VoIP-Administratorrolle basieren.) Nachdem die benutzerdefinierte Rolle erstellt wurde, können Sie mit dem Cmdlet Set-CsAdminRole die Eigenschaften der neuen Rolle ändern.
Dieses Cmdlet kann von folgenden Benutzern ausgeführt werden: Standardmäßig sind Mitglieder der folgenden Gruppen autorisiert, das Cmdlet Set-CsAdminRole lokal auszuführen: RTCUniversalServerAdmins. Geben Sie den folgenden Befehl an der Windows PowerShell-Eingabeaufforderung ein, um eine Liste aller rollenbasierten Zugriffssteuerungsrollen zurückzugeben, die diesem Cmdlet zugewiesen wurden (einschließlich der benutzerdefinierten rollenbasierten Zugriffssteuerungsrollen, die Sie selbst erstellt haben):
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsAdminRole"}
Parameter
| Parameter | Erforderlich | Typ | Beschreibung |
|---|---|---|---|
Identity |
Erforderlich |
Zeichenfolge |
Eindeutige ID für die zu ändernde rollenbasierte Zugriffssteuerungsrolle. Der Identitätswert einer rollenbasierten Zugriffssteuerungsrolle muss mit dem Wert von "SamAccountName" für die dieser Rolle zugeordnete universelle Active Directory-Sicherheitsgruppe übereinstimmen. Der Identitätswert der Helpdeskrolle lautet beispielsweise "CsHelpDesk". "CsHelpDesk" ist auch der Wert von "SamAccountName", der dieser Rolle zugeordneten Active Directory-Sicherheitsgruppe. |
ConfigScopes |
Optional |
PS-Listenmodifizierer |
Beschränkt den Gültigkeitsbereich des Cmdlets auf die Konfigurationseinstellungen am festgelegten Standort. Verwenden Sie eine Syntax wie die folgende, um den Gültigkeitsbereich des Cmdlets auf einen einzelnen Standort zu beschränken: -ConfigScopes site:Redmond. Mehrere Standorte können durch eine durch Kommas getrennte Liste angegeben werden: -ConfigScopes "site:Redmond, "site:Dublin". Sie können die Eigenschaft "ConfigScopes" auch auf "global" festlegen. Beim Zuweisen eines Werts für den Parameter "ConfigScopes" müssen Sie das Präfix "site:", gefolgt vom Wert der Eigenschaft "SiteId" für den Standort verwenden. Der Wert für "SiteId" muss nicht zwingend mit dem Wert für "Identity" oder "DisplayName" für den Standort übereinstimmen. Um den Wert für "SiteId" für einen Standort zu ermitteln, können Sie einen Befehl wie diesen verwenden: Get-CsSite "Redmond" | Select-Object SiteId Sie müssen für eine der beiden Eigenschaften ("ConfigScopes" und "UserScopes") oder für beide einen Wert angeben. |
UserScopes |
Optional |
PS-Listenmodifizierer |
Beschränkt den Gültigkeitsbereich des Cmdlets auf die Benutzerverwaltungsaktiviten innerhalb des festgelegten OU. Verwenden Sie eine Syntax wie die folgende, um den Gültigkeitsbereich des Cmdlets auf eine einzelne OU zu beschränken: -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com". Mehrere Organisationseinheiten können durch eine durch Kommas getrennte Liste angegeben werden: -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com", "OU:ou=Dublin,dc=litwareinc,dc=com". Um einer Rolle neue Gültigkeitsbereiche hinzuzufügen (oder vorhandene Bereiche aus dieser zu entfernen), verwenden Sie die Windows PowerShell-Syntax für Listenmodifizierer. Ausführliche Informationen finden Sie in den Beispielen weiter unten in diesem Hilfethema. Sie müssen für eine der beiden Eigenschaften ("ConfigScopes" und "UserScopes") oder für beide einen Wert angeben. |
Force |
Optional |
Switch-Parameter |
Unterdrückt die Anzeige von Meldungen bei nicht schwerwiegenden Fehlern, die beim Ausführen des Befehls auftreten können. |
WhatIf |
Optional |
Switch-Parameter |
Beschreibt die Auswirkungen einer Ausführung des Befehls, ohne den Befehl tatsächlich auszuführen. |
Confirm |
Optional |
Switch-Parameter |
Fordert Sie vor der Ausführung des Befehls zum Bestätigen auf. |
Eingabetypen
Keine.
Rückgabetypen
Set-CsAdminRole gibt keine Werte oder Objekte zurück. Stattdessen werden mit dem Cmdlet Instanzen des Objekts "Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role" konfiguriert.
Beispiel
-------------------------- Beispiel 1 ------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -UserScopes @{Add="OU:ou=Portland,dc=litwareinc,dc=com"}
Mit dem vorstehenden Befehl wird der Eigenschaft "UserScopes" für die rollenbasierte Zugriffssteuerungsrolle "RedmondVoiceAdministrators" eine neue Organisationseinheit ("Portland") hinzugefügt. Hierzu enthält der Befehl den Parameter "UserScopes" und den folgenden Parameterwert: @{Add="OU:ou=Portland,dc=litwareinc,dc=com"}. Mit dieser Syntax wird den bereits in der Eigenschaft "UserScopes" vorhandenen OUs die Organisationseinheit mit dem Distinguished Name "ou=Portland,dc=litwareinc,dc=com" hinzugefügt.
-------------------------- Beispiel 2 ------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -UserScopes @{Remove="OU:ou=Portland,dc=litwareinc,dc=com"}
Der Befehl in Beispiel 2 entfernt die Organisationseinheit "Portland" aus der rollenbasierten Zugriffssteuerungsrolle "RedmondVoiceAdministrators". Hierzu enthält der Befehl den Parameter "UserScopes" und den folgenden Parameterwert: @{Remove="OU:ou=Portland,dc=litwareinc,dc=com"}. Mit dieser Syntax wird die Organisationseinheit mit dem Distinguished Name "ou=Portland,dc=litwareinc,dc=com" aus der Auflistung von OUs gelöscht, die bereits in der Eigenschaft "UserScopes" vorhanden sind.
-------------------------- Beispiel 3 --------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Add="site:Redmond"}
In Beispiel 3 wird der Eigenschaft "ConfigScopes" der rollenbasierten Zugriffssteuerungsrolle "RedmondVoiceAdministrators" ein neuer Standort (mit der SiteId "Redmond") hinzugefügt. Hierzu enthält der Befehl den Parameter "ConfigScopes" und den folgenden Parameterwert: @{Add="OU:ou=Portland,dc=litwareinc,dc=com"}. Mit dieser Syntax wird der Standort "Redmond" allen bereits in der Eigenschaft "ConfigScopes" vorhandenen Elementen hinzugefügt.
-------------------------- Beispiel 4 --------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Remove="siteRedmond"}
Der Befehl in Beispiel 4 entfernt den Standort "Redmond" aus der rollenbasierten Zugriffssteuerungsrolle "RedmondVoiceAdministrators". Hierzu enthält der Befehl den Parameter "ConfigScopes" und den folgenden Parameterwert: @{Remove="site:Redmond"}. Mit diesem Parameter wird der Standort "Redmond" aus der Auflistung von bereits in der Eigenschaft "ConfigScopes" vorhandenen Elementen gelöscht. Beachten Sie, dass beim Ausführen des Befehls ein Fehler auftritt, wenn die Eigenschaft "ConfigScopes" nur den Standort "Redmond" enthält. Wenn Sie den einzigen in der Eigenschaft "ConfigScopes" vorhandenen Standort entfernen, sollten Sie einen Befehl wie den folgenden verwenden, mit dem alle Elemente in "ConfigScopes" durch die Eigenschaft "Global" ersetzt werden:
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Replace="Global"}