Grant-CsOUPermission
Letztes Änderungsdatum des Themas: 2012-03-23
Erteilt Microsoft Lync Server 2010-Verwaltungsrechte für eine Active Directory-Organisationseinheit (Organizational Unit, OU).
Syntax
Grant-CsOUPermission -ObjectType <User | Computer | InetOrgPerson | Contact | AppContact | Device> -OU <String> [-Confirm [<SwitchParameter>]] [-Domain <Fqdn>] [-DomainController <Fqdn>] [-Force <SwitchParameter>] [-GlobalCatalog <Fqdn>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
Detaillierte Beschreibung
Wenn Sie Ihre Active Directory-Domäne gesperrt haben (d. h., die Vererbung von Berechtigungen wurde deaktiviert), können bei der Domänenvorbereitung, die beim Installieren von Lync Server 2010 durchgeführt wird, die zum Verwalten von Benutzern, Computern, Kontakten, Anwendungskontakten und InetOrgPersonen erforderlichen Rechte nicht hinzugefügt werden. (Domänenadministratoren können diese Objekte weiterhin verwalten, alle weiteren Benutzer – Mitglieder der Gruppe "RTCUniversalUserAdmins" eingeschlossen – erhalten jedoch keine Verwaltungsberechtigungen.) In diesem Fall müssen Sie der Gruppe "RTCUniversalServerAdmins" mit Grant-CsOUPermission die erforderlichen Rechte gewähren. Dabei müssen die Container nacheinander abgearbeitet werden.
Beachten Sie, dass dieses Cmdlet nur einem Satz vordefinierter Sicherheitsgruppen Rechte erteilt. Das Cmdlet kann nicht dazu verwendet werden, bestimmten Sicherheitsgruppen oder einzelnen Benutzern Rechte zu gewähren.
Rechte, die mit Grant-CsOUPermission gewährt wurden, können später mit Revoke-CsOUPermission entfernt werden. Wenn Sie dieses Cmdlet ausführen, werden den Gruppen, denen die OU-Rechte anfänglich gewährt wurden, die Lync Server-Verwaltungsrechte für den angegebenen Active Directory-Container entzogen. In diesem Fall können nur Organisationsadministratoren oder Domänenadministratoren Lync Server oder eine seiner Komponenten verwalten.
Dieses Cmdlet kann von folgenden Benutzern ausgeführt werden: Sie müssen ein Domänenadministrator sein, um das Cmdlet Grant-CsOUPermission lokal ausführen zu können. Geben Sie den folgenden Befehl an der Windows PowerShell-Eingabeaufforderung ein, um eine Liste aller rollenbasierten Zugriffssteuerungsrollen zurückzugeben, die diesem Cmdlet zugewiesen wurden (einschließlich der benutzerdefinierten rollenbasierten Zugriffssteuerungsrollen, die Sie selbst erstellt haben):
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Grant-CsOUPermission"}
Parameter
| Parameter | Erforderlich | Typ | Beschreibung |
|---|---|---|---|
ObjectType |
Erforderlich |
Zeichenfolge |
Von diesen Rechten abgedeckter Objekttyp. Gültige Werte: User Computer Contact AppContact InetOrgPerson Trennen Sie die Objekttypen durch Kommas voneinander, um im gleichen Befehl mehrere Objekttypen zuzuweisen: -ObjectType "user","computer","contact". |
OU |
Erforderlich |
Active Directory-DN (Distinguished Name) |
Distinguished Name (DN) der OU, für die Rechte gewährt werden sollen. Beispiel: -OU "ou=Redmond,dc=litwareinc,dc=com". Beachten Sie, dass Sie pro Befehl nur einer einzelnen OU Rechte erteilen können. |
Domain |
Optional |
Zeichenfolge |
Name der Domäne, in der sich die OU befindet. Wenn dieser Parameter nicht angegeben wurde, wird mit Grant-CsOUPermission in der aktuellen Domäne nach der OU gesucht. |
DomainController |
Optional |
Zeichenfolge |
Administratoren können den vollqualifizierten Domänennamen (FQDN) des Domänencontrollers angeben, der beim Ausführen von Grant-CsOUPermission verwendet werden soll. Wenn dieser Paramter nicht festgelegt wird, wird der erste verfügbare Domänencontroller vom Cmdlet verwendet. |
GlobalCatalog |
Optional |
Zeichenfolge |
Vollqualifizierter Domänenname (FQDN) eines globalen Katalogservers in Ihrer Domäne. Die Angabe dieses Parameters ist nicht erforderlich, wenn Sie Grant-CsOUPermission auf einem Computer mit einem Konto in Ihrer Domäne ausführen. |
Force |
Optional |
Switch-Parameter |
Unterdrückt die Anzeige von Meldungen bei nicht schwerwiegenden Fehlern, die beim Ausführen des Befehls auftreten können. |
Report |
Optional |
Zeichenfolge |
Ermöglicht es Ihnen, einen Dateipfad für die bei der Ausführung des Cmdlets erstellte Protokolldatei anzugeben. Beispiel: -Report "C:\Logs\OUPermissions.html" |
WhatIf |
Optional |
Switch-Parameter |
Beschreibt die Auswirkungen einer Ausführung des Befehls, ohne den Befehl tatsächlich auszuführen. |
Confirm |
Optional |
Switch-Parameter |
Fordert Sie vor der Ausführung des Befehls zum Bestätigen auf. |
Eingabetypen
Keine. Grant-CsOUPermission akzeptiert keine weitergeleitete Eingabe.
Rückgabetypen
Grant-CsOUPermission gibt keine Objekte oder Werte zurück.
Beispiel
-------------------------- Beispiel 1 ------------------------
Grant-CsOUPermission -OU "ou=Redmond,dc=litwareinc,dc=com" -ObjectType "user"
Der Befehl in Beispiel 1 erteilt Benutzerverwaltungsrechte (-ObjectType "user") für die OU "Redmond" in der Domäne "litwareinc.com".
-------------------------- Beispiel 2 ------------------------
Grant-CsOUPermission -OU "ou=Redmond,dc=litwareinc,dc=com" -ObjectType "user","contact","inetOrgPerson"
In Beispiel 2 werden drei verschiedenen Objekten (User, Contact, InetOrgPerson) Verwaltungsrechte für die OU "Redmond" in der Domäne "litwareinc.com" erteilt.
-------------------------- Beispiel 3 ------------------------
$x = "ou=Redmond,dc=litwareinc,dc=com", "ou=Dublin,dc=litwareinc,dc=com", "ou=Tokyo,dc=litwareinc,dc=com"
foreach ($i in $x) {Grant-CsOUPermission -OU $i -ObjectType "user"}
Im vorstehenden Beispiel werden drei verschiedenen OUs gleichzeitig Benutzerverwaltungsrechte erteilt: "Redmond", "Dublin" und "Tokyo". Hierzu erstellt der erste Befehl im Beispiel die Arrayvariable "$x". In dieser Variablen befinden sich die Distinguished Names der drei Active Directory-OUs, denen die Rechte erteilt werden. Mit dem zweiten Befehl wird eine foreach-Schleife erstellt, mit der das Cmdlet Grant-CsOUPermission für jede im Array gespeicherte OU ausgeführt wird. Anschließend werden über diesen Befehl Benutzerverwaltungsrechte für jede OU im Array gewährt.