Planeación del control de acceso basado en roles en Lync Server 2013
Última modificación del tema: 2015-01-27
Para permitirle delegar tareas administrativas y mantener altos estándares de seguridad, Lync Server 2013 ofrece un control de acceso basado en roles (RBAC). Con RBAC, los privilegios administrativos se conceden al asignar usuarios a roles administrativos. Lync Server 2013 incluye un conjunto completo de roles administrativos integrados y también permite crear nuevos roles y especificar una lista personalizada de cmdlets para cada rol nuevo. También puede agregar scripts de cmdlets a las tareas permitidas de roles de RBAC tanto predefinidos como personalizados.
Mejor seguridad y centralización del servidor
Con RBAC, el acceso y la autorización se basan precisamente en el rol de Lync Server de un usuario. Esto permite el uso de la práctica de seguridad del "privilegio mínimo", otorgando a los administradores y usuarios solo los derechos necesarios para su trabajo.
Importante
Las restricciones RBAC solo funcionan en administradores que trabajan de forma remota, ya sea mediante el Panel de control de Lync Server o el Shell de administración de Lync Server. Un usuario sentado en un servidor que ejecuta Lync Server no está restringido por RBAC. Por lo tanto, la seguridad física de Lync Server es importante para conservar las restricciones RBAC.
Roles y ámbito
En RBAC, se habilita un rol para usar una lista de cmdlets, diseñado para ser útil para un determinado tipo de administrador o técnico. Un ámbito es el conjunto de objetos en los que pueden funcionar los cmdlets definidos en un rol. Los objetos afectados por el ámbito pueden ser cuentas de usuario (agrupadas por unidad organizativa) o servidores (agrupados por sitio).
En la tabla siguiente se enumeran los roles predefinidos en Lync Server y se ofrece información general sobre los tipos de tareas que cada uno puede realizar. La cuarta columna muestra el rol Microsoft Exchange Server similar para cada rol de Lync Server, si hay uno.
Roles administrativos predefinidos
| Rol | Tareas permitidas | Grupo subyacente de Active Directory | Equivalente de Exchange |
|---|---|---|---|
CsAdministrator |
Puede realizar todas las tareas administrativas y modificar todas las opciones de configuración, incluida la creación de roles y la asignación de roles a los usuarios. Puede expandir una implementación agregando nuevos sitios, grupos y servicios. |
CSAdministrator |
Administración de la organización |
CsUserAdministrator |
Puede habilitar y deshabilitar usuarios para Lync Server, mover usuarios y asignar directivas existentes a los usuarios. No se pueden modificar directivas. |
CSUserAdministrator |
Destinatarios de correo |
CsVoiceAdministrator |
Puede crear, configurar y administrar directivas y opciones relacionadas con la voz. |
CSVoiceAdministrator |
No aplicable |
CsServerAdministrator |
Puede administrar, supervisar y solucionar problemas de servidores y servicios. Puede evitar nuevas conexiones a servidores, detener e iniciar servicios y aplicar actualizaciones de software. No se pueden realizar cambios con impacto en la configuración global. |
CSServerAdministrator |
Administración de servidores |
CsViewOnlyAdministrator |
Puede ver la implementación, incluida la información del usuario y del servidor, para supervisar el estado de la implementación. |
CSViewOnlyAdministrator |
View-Only Administración de la organización |
CsHelpDesk |
Puede ver la implementación, incluidas las propiedades y directivas del usuario. Puede ejecutar tareas específicas de solución de problemas. No se pueden cambiar las propiedades o directivas de usuario, la configuración del servidor o los servicios. |
CSHelpDesk |
Helpdesk |
CsArchivingAdministrator |
Puede modificar la configuración y las directivas de archivado. |
CSArchivingAdministrator |
Administración de retención, suspensión legal |
CsResponseGroupAdministrator |
Puede administrar la configuración de la aplicación grupo de respuesta dentro de un sitio. |
CS ReGroupAdministrator |
No aplicable |
CsLocationAdministrator |
Nivel más bajo de derechos para la administración mejorada de 9-1-1 (E9-1-1), incluida la creación de ubicaciones e identificadores de red E9-1-1, y su asociación entre sí. Este rol siempre se asigna con un ámbito global. |
CSLocationAdministrator |
No aplicable |
AdministradorGrupoRespuestaCs |
Puede administrar grupos de respuesta específicos. |
CS ReGroupManager |
No aplicable |
CsPersistentChatAdministrator |
Puede administrar la característica de chat persistente y salones específicos de chat persistente. |
CSPersistentChatAdministrator |
No aplicable |
Todos los roles predefinidos incluidos en Lync Server tienen un ámbito global. Para seguir los procedimientos de privilegios mínimos, no debe asignar usuarios a roles con ámbito global si van a administrar solo un conjunto limitado de servidores o usuarios. Para ello, puede crear roles que se basen en un rol existente, pero con un ámbito más limitado.
Crear un rol de ámbito
Cuando se crea un rol con ámbito limitado (un rol de ámbito), se especifica el ámbito, junto con el rol existente en el que se basa y el grupo de Active Directory al que se asignará el rol. El grupo de Active Directory que especifique debe estar ya creado. El siguiente cmdlet es un ejemplo de creación de un rol que tiene los privilegios de uno de los roles administrativos predefinidos, pero con ámbito limitado. Crea un nuevo rol llamado Site01 Server Administrators. El rol tiene las capacidades del rol predefinido CsServerAdministrator, pero solo para los servidores ubicados en el sitio Site01. Para que este cmdlet funcione, el sitio site01 ya debe estar definido y ya debe existir un grupo de seguridad universal con nombre Site01 Server Administrators .
New-CsAdminRole -Identity "Site01 Server Administrators" -Template CsServerAdministrator -ConfigScopes "site:Site01"
Después de ejecutar este cmdlet, todos los usuarios que sean miembros del Site01 Server Administrators grupo tendrán privilegios de administrador del servidor para los servidores de Site01. Además, todos los usuarios agregados posteriormente a este grupo de seguridad universal también obtienen los privilegios de este rol. Tenga en cuenta que tanto el rol en sí como el grupo de seguridad universal al que está asignado se denominan Site01 Server Administrators.
En el ejemplo siguiente se limita el ámbito de usuario en lugar del ámbito del servidor. Crea un Sales Users Administrator rol para administrar las cuentas de usuario en la unidad organizativa Ventas. El grupo de seguridad universal SalesUsersAdministrator ya debe crearse para que este cmdlet funcione.
New-CsAdminRole -Identity "Sales Users Administrator " -Template CsUserAdministrator -UserScopes "OU:OU=Sales, OU=Lync Tenants, DC=Domain, DC=com"
Crear un nuevo rol
Para crear un rol que tenga acceso a un conjunto de cmdlets que no están en uno de los roles predefinidos o a un conjunto de scripts o módulos, vuelva a usar uno de los roles predefinidos como plantilla. Tenga en cuenta que los scripts y módulos que los roles deben poder ejecutar deben estar almacenados en las siguientes ubicaciones:
La ruta de acceso del módulo lync, que es de forma predeterminada C:\Archivos de programa\Archivos comunes\Microsoft Lync Server 2013\Modules\Lync
La ruta de acceso del script de usuario, que es de forma predeterminada C:\Archivos de programa\Archivos comunes\Microsoft Lync Server 2013\AdminScripts
Para crear un nuevo rol, use el cmdlet New-CsAdminRole . Antes de ejecutar New-CsAdminRole, primero debe crear el grupo de seguridad universal subyacente que se asociará con este rol.
Los cmdlets siguientes sirven como ejemplo de la creación de un nuevo rol. Crean un nuevo tipo de rol denominado MyHelpDeskScriptRole. El nuevo rol tiene las capacidades del rol predefinido CsHelpDesk y también puede ejecutar las funciones en un script denominado "testscript".
New-CsAdminRole -Identity "MyHelpDeskScriptRole" -Template CsHelpDesk -ScriptModules @{Add="testScript.ps1"}
Para que este cmdlet funcione, primero debe haber creado el grupo de seguridad universal MyHelpDeskScriptRole.
Después de ejecutar este cmdlet, puede asignar usuarios directamente a este rol (en cuyo caso tienen ámbito global) o crear un rol de ámbito basado en este rol, como se explica en Crear un rol de ámbito, anteriormente en este documento.
Asignar roles a usuarios
Cada rol de Lync Server está asociado a un grupo de seguridad universal de Active Directory subyacente. Todos los usuarios que agregue al grupo subyacente obtendrán las capacidades de ese rol.
Los ejemplos de las secciones anteriores crearon un nuevo rol y asignaron un grupo de seguridad universal existente al nuevo rol. Para asignar un rol existente a uno o más usuarios, agregue esos usuarios al grupo asociado con el rol. Puede agregar usuarios individuales y grupos de seguridad universal a estos grupos.
Por ejemplo, el rol CsAdministrator se concede automáticamente al grupo de seguridad universal administradores de CS en Active Directory. Este grupo de seguridad universal se crea en Active Directory al implementar Lync Server. Para conceder este privilegio a un usuario o grupo, simplemente puede agregarlo al grupo administradores de CS .
Un usuario puede tener varios roles RBAC si se agrega a los grupos subyacentes de Active Directory que se corresponden con cada rol.
Tenga en cuenta que al crear un rol, los usuarios que posteriormente se agregan al grupo subyacente de Active Directory obtienen las capacidades de ese rol.
Modificar las capacidades de un rol
Puede modificar la lista de cmdlets y scripts que puede ejecutar un rol. Puede modificar tanto los cmdlets como los scripts que pueden ejecutar los roles personalizados, pero solo puede modificar los scripts para roles predefinidos. Cada cmdlet que escriba puede agregar, quitar o reemplazar cmdlets o scripts.
Para modificar un rol, use el cmdlet Set-CsAdminRole . El siguiente cmdlet quita un script del rol.
Set-CsAdminRole -Identity "MyHelpDeskScriptRole" -ScriptModules @{Remove="testScript.ps1"}
Planeamiento de RBAC
Para cada persona a la que se le asignarán cualquier tipo de derechos administrativos para la implementación de Lync Server, considere exactamente qué tareas deben realizar y, a continuación, asígneles los roles con el menor privilegio y ámbito necesario para su trabajo. Si es necesario, puede usar el cmdlet Set-CsAdminRole para crear un nuevo rol solo con los cmdlets necesarios para las tareas de esta persona.
Los usuarios que tienen el rol CsAdministrator pueden crear todos los tipos de roles, incluidos los roles basados en CsAdministrator, y asignarles usuarios. El procedimiento recomendado es asignar el rol CsAdministrator a un conjunto muy pequeño de usuarios de confianza.