Share via

  • Artikel

Grant-CsExternalAccessPolicy

 

Letztes Änderungsdatum des Themas: 2012-03-23

Ermöglicht das Zuweisen einer Richtlinie für den externen Zugriff zu einem Benutzer oder einer Benutzergruppe. Richtlinien für den externen Zugriff legen fest, ob Benutzer folgende Aufgaben durchführen können: 1) Kommunizieren mit Benutzern, die über SIP-Konten (Session Initiation Protocol) in einer Partnerorganisation verfügen; 2) Kommunizieren mit Benutzern, die über SIP-Konten bei einem öffentlichen Instant Messaging-Anbieter wie MSN verfügen; 3) Zugreifen auf Microsoft Lync Server 2010 über das Internet, ohne sich beim internen Netzwerk anmelden zu müssen.

Syntax

Grant-CsExternalAccessPolicy -Identity <UserIdParameter> [-PolicyName <String>] [-Confirm [<SwitchParameter>]] [-DomainController <Fqdn>] [-PassThru <SwitchParameter>] [-WhatIf [<SwitchParameter>]]

Detaillierte Beschreibung

Bei der Installation von Lync Server 2010 ist Ihren Benutzern nur der Austausch von Sofortnachrichten und Anwesenheitsinformationen gestattet: Standardmäßig ist nur eine Kommunikation mit Personen möglich, die über SIP-Konten in Active Directory-Domänendienste (AD DS) verfügen. Außerdem können Benutzer nicht über das Internet auf Lync Server zugreifen; sie müssen beim internen Netzwerk angemeldet sein, bevor sie sich bei Lync Server anmelden können.

Damit werden Ihre Kommunikationsanforderungen möglicherweise bereits erfüllt. Andernfalls können Sie die Möglichkeiten zur Kommunikation und Zusammenarbeit Ihrer Benutzer durch Richtlinien für den externen Zugriff erweitern. Richtlinien für den externen Zugriff ermöglichen (oder verweigern) Ihren Benutzern beliebige oder alle der folgenden Aktionen:

1. Kommunizieren mit Personen, die über SIP-Konten bei einer Partnerorganisation verfügen. Beachten Sie, dass die alleinige Aktivierung des Partnerverbunds nicht ausreicht, um Benutzern diese Möglichkeit zu bieten. Stattdessen müssen Sie den Partnerverbund aktivieren und Benutzern dann eine Richtlinie für den externen Zugriff zuweisen, mit der ihnen die Berechtigung zur Kommunikation mit Partnerbenutzern erteilt wird.

2. Kommunizieren mit Personen, die über SIP-Konten bei einem öffentlichen Instant Messaging-Dienst wie MSN verfügen.

3. Zugreifen auf Lync Server über das Internet, ohne sich zunächst beim internen Netzwerk anmelden zu müssen. Diese Option ermöglicht Ihren Benutzern die Verwendung von Microsoft Lync 2010 und die Anmeldung bei Lync Server von einem Internetcafé oder einem anderen Remotestandort aus.

Bei der Installation von Lync Server wird automatisch eine globale Richtlinie für den externen Zugriff erstellt. Zusätzlich zu dieser globalen Richtlinie können Sie mit New-CsExternalAccessPolicy weitere Richtlinien für den externen Zugriff erstellen und diese entweder auf Standort- oder Benutzerebene konfigurieren.

Wenn eine Richtlinie auf Standortebene erstellt wird, wird diese automatisch dem entsprechenden Standort zugewiesen. Eine Richtlinie für den externen Zugriff mit dem Identitätswert "site:Redmond" wird beispielsweise automatisch dem Standort "Redmond" zugewiesen. Benutzerbasierte Richtlinien werden hingegen nicht automatisch einer Person zugewiesen. Diese Richtlinien müssen stattdessen explizit einem Benutzer oder einer Benutzergruppe zugewiesen werden. Diese benutzerbasierten Richtlinien werden mit dem Cmdlet Grant-CsExternalAccessPolicy zugewiesen.

Beachten Sie, dass benutzerbasierte Richtlinien immer Vorrang vor Standortrichtlinien und der globalen Richtlinie haben. Nehmen Sie beispielsweise an, Sie erstellen eine benutzerdefinierte Richtlinie, die das Kommunizieren mit Partnerbenutzern erlaubt, und weisen diese Richtlinie Ken Myer zu. Solange diese Richtlinie gültig ist, kann Ken mit Partnerbenutzern kommunizieren, auch wenn diese Kommunikationsart gemäß der Standortrichtlinie für Kens Standort oder der globalen Richtlinie nicht zulässig ist. Der Grund dafür ist, dass die Einstellungen der benutzerbasierten Richtlinie Vorrang haben.

Dieses Cmdlet kann von folgenden Benutzern ausgeführt werden: Standardmäßig dürfen Mitglieder der folgenden Gruppen das Cmdlet Grant-CsExternalAccessPolicy lokal ausführen: RTCUniversalUserAdmins. Geben Sie den folgenden Befehl an der Windows PowerShell-Eingabeaufforderung ein, um eine Liste aller rollenbasierten Zugriffssteuerungsrollen zurückzugeben, die diesem Cmdlet zugewiesen wurden (einschließlich der benutzerdefinierten rollenbasierten Zugriffssteuerungsrollen, die Sie selbst erstellt haben):

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Grant-CsExternalAccessPolicy"}

Parameter

Parameter Erforderlich Typ Beschreibung

Identity

Erforderlich

XdsIdentity

Identitätswert des Benutzerkontos, dem die Richtlinie zugewiesen werden soll. Benutzeridentitäten können in den folgenden vier Formaten angegeben werden: als 1) SIP-Adresse des Benutzers, 2) UPN (User Principal Name) des Benutzers, 3) Domänen- und Anmeldename des Benutzers (mit dem Format "Domäne\Anmeldename", z. B. "litwareinc\kenmyer") und 4) Active Directory-Anzeigename des Benutzers (z. B. "Ken Myer"). Benutzeridentitäten können auch über den Active Directory-DN (Distinguished Name) des Benutzers referenziert werden.

Darüber hinaus können Sie das Sternchen (*) als Platzhalterzeichen nutzen, wenn Sie die Benutzeridentität angeben. Der Identitätswert "* Smith" gibt beispielsweise alle Benutzer zurück, deren Anzeigename auf den Zeichenfolgenwert "Smith" endet.

PolicyName

Erforderlich

Zeichenfolge

Name der Richtlinie, die zugewiesen werden soll. Der Parameter "PolicyName" ist der Identitätswert der Richtlinie ohne den Gültigkeitsbereich der Richtlinie (das Präfix "tag:"). Bei einer Richtlinie mit dem Identitätswert "tag:Redmond" weist beispielsweise der Parameter "PolicyName" den Wert "Redmond" auf, und eine Richtlinie mit dem Identitätswert "tag:RedmondAccessPolicy" weist einen "PolicyName" mit dem Wert "RedmondAccessPolicy" auf.

Wenn Sie die Zuweisung einer benutzerbasierten Richtlinie für einen Benutzer aufheben möchten, legen Sie den Parameter "PolicyName" auf "$Null" fest.

DomainController

Optional

Zeichenfolge

Ermöglicht das Angeben des vollqualifizierten Domänennamens (FQDN) eines Domänencontrollers, der beim Zuweisen der neuen Richtlinie kontaktiert werden soll. Wenn dieser Parameter nicht angegeben wird, kontaktiert Grant-CsExternalAccessPolicy den ersten verfügbaren Domänencontroller.

PassThru

Optional

Switch-Parameter

Ermöglicht das Weiterleiten eines Benutzerobjekts, das den Benutzer darstellt, dem die Richtlinie zugewiesen wird. Mit dem Cmdlet Grant-CsExternalAccessPolicy werden standardmäßig keine Objekte weitergeleitet.

WhatIf

Optional

Switch-Parameter

Beschreibt die Auswirkungen einer Ausführung des Befehls, ohne den Befehl tatsächlich auszuführen.

Confirm

Optional

Switch-Parameter

Fordert Sie vor der Ausführung des Befehls zum Bestätigen auf.

Eingabetypen

Zeichenfolgenwert oder Microsoft.Rtc.Management.ADConnect.Schema.ADUser-Objekt. Grant-CsExternalAccessPolicy akzeptiert eine weitergeleitete Eingabe von Zeichenfolgenwerten, die den Identitätswert eines Benutzerkontos repräsentieren. Das Cmdlet akzeptiert auch eine weitergeleitete Eingabe von Benutzerobjekten.

Rückgabetypen

Grant-CsExternalAccessPolicy gibt standardmäßig keine Werte oder Objekte zurück. Wenn Sie jedoch den Parameter "PassThru" einschließen, gibt das Cmdlet Instanzen des Objekts "Microsoft.Rtc.Management.ADConnect.Schema.OCSUserOrAppContact" zurück.

Beispiel

-------------------------- Beispiel 1 ------------------------

Grant-CsExternalAccessPolicy -Identity "Ken Myer" -PolicyName RedmondAccessPolicy

Mit dem vorstehenden Befehl wird die Richtlinie für den externen Zugriff "RedmondAccessPolicy" dem Benutzer mit dem Active Directory-Anzeigenamen "Ken Myer" zugewiesen.

-------------------------- Beispiel 2 ------------------------

Get-CsUser -LDAPFilter "l=Redmond" | Grant-CsExternalAccessPolicy -PolicyName RedmondAccessPolicy

Der Befehl in Beispiel 2 weist die Richtlinie für den externen Zugriff "RedmondAccessPolicy" allen Benutzern zu, die in der Stadt Redmond arbeiten. Hierzu gibt der Befehl zunächst mit Get-CsUser und dem Parameter "LDAPFilter" eine Auflistung aller Benutzer zurück, die in Redmond arbeiten. Der Filterwert "l=Redmond" beschränkt die zurückgegebenen Daten auf Benutzer, die in der Stadt Redmond arbeiten ("l" steht für "locality", Deutsch: Ort). Diese Auflistung wird dann an Grant-CsExternalAccessPolicy weitergeleitet, das jedem Benutzer in der Auflistung die Richtlinie "RedmondAccessPolicy" zuweist.

-------------------------- Beispiel 3 ------------------------

Get-CsUser -LDAPFilter "Title=Sales Representative" | Grant-CsExternalAccessPolicy -PolicyName SalesAccessPolicy

In Beispiel 3 wird allen Benutzern mit der Position "Sales Representative" die Richtlinie für den externen Zugriff "SalesAccessPolicy" zugewiesen. Hierzu wird zunächst mit Get-CsUser und dem Parameter "LDAPFilter" eine Auflistung aller Vertriebsbeauftragten zurückgegeben. Der Filterwert "Title=Sales Representative" beschränkt die zurückgegebene Auflistung auf Benutzer mit der Position "Sales Representative". Diese gefilterte Auflistung wird dann an das Cmdlet Grant-CsExternalAccessPolicy weitergeleitet, das jedem Benutzer in der Auflistung die Richtlinie "SalesAccessPolicy" zuweist.

-------------------------- Beispiel 4 ------------------------

Get-CsUser -Filter {ExternalAccessPolicy -eq $Null} | Grant-CsExternalAccessPolicy -PolicyName BasicAccessPolicy

Der Befehl in Beispiel 4 weist die Richtlinie für den externen Zugriff "BasicAccessPolicy" allen Benutzern zu, denen nicht explizit eine benutzerbasierte Richtlinie zugewiesen wurde. (Dies sind Benutzer, für die derzeit eine Standortrichtlinie oder die globale Richtlinie gilt.) Hierzu werden Get-CsUser und der Parameter "Filter" verwendet, um die entsprechende Benutzergruppe zurückgeben. Der Filterwert "{ExternalAccessPolicy -eq $Null}" beschränkt die zurückgegebenen Daten auf Benutzerkonten, bei denen die Eigenschaft "ExternalAccessPolicy" einen Nullwert ($Null) aufweist (der Vergleichsoperator "-eq" steht für "equal to"). "ExternalAccessPolicy" weist laut Definition nur dann einen Nullwert auf, wenn Benutzern keine benutzerbasierte Richtlinie zugewiesen wurde.

Diese gefilterte Auflistung wird dann an das Cmdlet Grant-CsExternalAccessPolicy weitergeleitet, das jedem Benutzer in der Auflistung die Richtlinie "BasicAccessPolicy" zuweist.

-------------------------- Beispiel 5 ------------------------

Get-CsUser -OU "ou=US,dc=litwareinc,dc=com" | Grant-CsExternalAccessPolicy -PolicyName USAccessPolicy

Mit dem vorstehenden Befehl wird die Richtlinie für den externen Zugriff "USAccessPolicy" allen Benutzern zugewiesen, die über ein Konto in der Organisationseinheit (OU) "US" verfügen. Hierzu ruft der Befehl zunächst Get-CsUser und den Parameter "OU" auf. Der Parameterwert "ou=US,dc=litwareinc,dc=com" schränkt die zurückgegebenen Daten auf Benutzerkonten ein, die in der OU "US" gefunden werden. Die zurückgegebene Auflistung wird dann an das Cmdlet Grant-CsExternalAccessPolicy weitergeleitet, das jedem Benutzer in der Auflistung die Richtlinie "USAccessPolicy" zuweist.

-------------------------- Beispiel 6 ------------------------

Get-CsUser | Grant-CsExternalAccessPolicy -PolicyName $Null

In Beispiel 6 wird die Zuweisung aller Richtlinien für den externen Zugriff aufgehoben, die zuvor einem beliebigen für Lync Server aktivierten Benutzer zugewiesen wurde. Hierzu ruft der Befehl zunächst Get-CsUser ohne zusätzliche Parameter auf, um eine Auflistung aller Benutzer zurückzugeben, die für Lync Server aktiviert sind. Diese Auflistung wird dann an Grant-CsExternalAccessPolicy weitergeleitet, das mit der Syntax "-PolicyName $Null" sämtliche benutzerbasierten Richtlinien für den externen Zugriff entfernt, die diesen Benutzern bisher zugewiesenen waren.