New-CsAdminRole
Última modificación del tema: 2012-03-23
Crea un nuevo rol de control de acceso basado en roles (RBAC). Los roles RBAC se usan para definir las tareas de administración que los usuarios tienen permitido realizar y el ámbito en el tienen permitido realizarlas.
Sintaxis
New-CsAdminRole -Identity <String> -Template <String> [-ConfigScopes <PSListModifier>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-InMemory <SwitchParameter>] [-UserScopes <PSListModifier>] [-WhatIf [<SwitchParameter>]]
Descripción detallada
El control de acceso basado en roles (RBAC) habilita a los administradores para delegar el control de determinadas tareas de administración específicas en Microsoft Lync Server 2010. Por ejemplo, en lugar de conceder todos los privilegios de administrador al departamento de soporte técnico de su organización, puede conceder derechos específicos a estos empleados: derecho de administrar sólo cuentas de usuario; derecho de administrar sólo componentes de Telefonía IP empresarial; derecho de administrar sólo el archivo y Servidor de archivado. Además, estos derechos pueden limitarse en cuanto al ámbito: un usuario puede tener derecho a administrar Telefonía IP empresarial, pero únicamente en el sitio de Redmond; otro usuario puede tener derecho a administrar usuarios, pero únicamente si las cuentas de dichos usuarios se encuentran en la unidad organizativa (OU) Finance.
La implementación de RBAC de Lync Server 2010 se basa en dos elementos clave: los grupos de seguridad de Active Directory y los cmdlets Windows PowerShell. Cuando se instala Lync Server 2010, se crean una amplia variedad de grupos de seguridad universales, por ejemplo, CsAdministrator, CsArchivingAdministrator y CsHelpDesk. Estos grupos de seguridad universales se corresponden de forma individual con los roles RBAC; esto significa que cualquier usuario que forme parte del grupo de seguridad CsArchivingAdministrator tiene concedidos todos los derechos relacionados con el rol RBAC CsArchivingAdministrator. A su vez, los derechos otorgados a un rol RBAC se basan en los cmdlets asignados a dicho rol (los cmdlets pueden asignarse a varios roles RBAC). Por ejemplo, imagine que se han asignado los cmdlets siguientes a un rol:
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
La lista anterior representa los únicos cmdlets que puede ejecutar un usuario al que se haya asignado un supuesto rol RBAC durante una sesión remota de Windows PowerShell. Si el usuario intenta ejecutar el cmdlet Disable-CsUser, el comando no se completará correctamente porque los usuarios a los que se haya asignado el supuesto rol no tienen derecho a ejecutar Disable-CsUser. Esto se aplica además a Panel de control de Lync Server. Por ejemplo, un administrador de archivado no puede deshabilitar a un usuario mediante el Panel de control de Lync Server porque el Panel de control de Lync Server se adhiere a los roles RBAC. Siempre que se ejecuta un comando en Panel de control de Lync Server en realidad se llama al cmdlet Windows PowerShell. Si no tiene permitido ejecutar Disable-CsUser, no tendrá importancia que ejecute dicho cmdlet desde Windows PowerShell o indirectamente desde el Panel de control de Lync Server: en cualquier caso el comando producirá un error).
Tenga en cuenta que el RBAC se aplica únicamente a la administración remota. Si ha iniciado sesión en un equipo que se ejecuta con Lync Server 2010 y abre Shell de administración de Lync Server, no se exigirán los roles RBAC. En cambio, la seguridad se exigirá principalmente desde los grupos de seguridad RTCUniversalServerAdmins; RTCUniversalUserAdmins; y RTCUniversalReadOnlyAdmins.
Cuando instala Lync Server 2010, la instalación genera diversos roles RBAC integrados. Estos roles cubren las áreas administrativas comunes como administración de voz, administración del usuario y administración del grupo de respuesta. Estos roles integrados no pueden modificarse de ninguna forma: no es posible agregarles o quitarles cmdlets, ni tampoco se los puede eliminar. (Si intenta eliminar un rol integrado, se producirá un error). No obstante, los roles integrados sí pueden usarse para crear roles RBAC personalizados. Los roles personalizados pueden modificarse al cambiar los ámbitos administrativos; por ejemplo, podría limitar el rol para administrar las cuentas de usuario que tengan una determinada unidad organizativa de Active Directory.
Para crear un rol, primero debe crear un grupo de seguridad universal en Active Directory Domain Services (AD DS) que lleve el mismo nombre que el rol; por ejemplo, para crear un rol llamado DialInConferencingAdministrator deberá crear un grupo de seguridad cuyo SamAccountName sea DialInConferencingAdministrator. Tenga en cuenta que New-CsAdminRole no creará este grupo para usted. Si el grupo DialInConferencingAdministrator no existe cuando llama a New-CsAdminRole, se producirá un error en el comando. El parámetro Identity que asigne al nuevo rol deberá ser el SamAccountName del grupo de Active Directory correspondiente.
Después de crear el grupo de seguridad de Active Directory, deberá seleccionar un rol RBAC integrado para que funcione como plantilla del nuevo rol personalizado. No es posible crear un rol RBAC en blanco con New-CsAdminRole. Cada rol personalizado debe basarse en un rol RBAC integrado. Esto significa que un rol personalizado deberá tener los mismos cmdlets asignados que uno de los roles integrados. Sin embargo, puede usar Set-CsAdminRole para cambiar el ámbito administrativo de este rol personalizado.
Quiénes pueden ejecutar este cmdlet: De manera predeterminada, los miembros de los siguientes grupos están autorizados para ejecutar el cmdlet New-CsAdminRole en forma local: RTCUniversalServerAdmins. Para devolver una lista de todos los roles de RBAC a los que se ha asignado este cmdlet (incluidos los roles de RBAC personalizados que ha creado usted mismo), ejecute el siguiente comando del aviso Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsAdminRole"}
Parámetros
| Parámetro | Requerido | Tipo | Descripción |
|---|---|---|---|
Identity |
Requerido |
Cadena de caracteres |
Identificador único del rol RBAC que se va a crear. El parámetro Identity de un rol RBAC debe ser igual al SamAccountName del grupo de seguridad universal de Active Directory asociado con ese rol. Por ejemplo, el rol del departamento de soporte técnico tiene un valor de Identity igual aCsHelpDesk; CsHelpDesk también tiene el mismo valor de SamAccountName que el grupo de seguridad de Active Directory asociado con dicho rol. |
Template |
Requerido |
Cadena de caracteres |
Nombre del rol RBAC integrado que actuará como plantilla del rol RBAC personalizado que se está creando. Cada uno de los roles RBAC debe basarse en un rol existente; no es posible crear un rol RBAC en blanco (es decir, un rol sin cmdlets asignados o sin valores asignados a las propiedades ConfigScope o UserScope). No obstante, una vez que el rol personalizado fue creado es posible usar el cmdlet Set-CsAdminRole para modificar las propiedades del nuevo rol. |
ConfigScopes |
Opcional |
Modificador de lista PS |
Se usa para limitar el ámbito del cmdlet a la configuración que se encuentra dentro del sitio especificado. Para limitar el ámbito del cmdlet a un único sitio, use una sintaxis similar a ésta: -ConfigScopes site:Redmond. Para especificar varios sitios, se debe usar una lista de valores separados por coma: -ConfigScopes "site:Redmond, "site:Dublin". También puede definir la propiedad ConfigScopes como "global". Al asignar un valor al parámetro ConfigScopes, debe usar el "site:" prefijo seguido del valor de la propiedad SiteId del sitio; tenga en cuenta que SiteID no necesariamente tiene el mismo valor que Identity del sitio o DisplayName del sitio. Para determinar el SiteId de un sitio determinado, puede usar un comando similar al siguiente: Get-CsSite "Redmond" | Select-Object SiteId Debe especificar un valor para la propiedad ConfigScopes o UserScopes (o para ambas). |
UserScopes |
Opcional |
Modificador de lista PS |
Se usa para limitar el ámbito del cmdlet a las actividades de los usuarios administrativos que se encuentran dentro de la unidad organizativa especificada. Para limitar el ámbito de un cmdlet a una sola unidad organizativa, use una sintaxis como esta: -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com". Para especificar varias unidades organizativas, se debe usar una lista de valores separados por coma: -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com", "OU:ou=Dublin,dc=litwareinc,dc=com". Para agregar nuevos ámbitos de un rol (o para eliminar los ámbitos existentes) deberá usar la sintaxis de modificadores de lista de Windows PowerShell. Para obtener más información, consulte la sección Ejemplos de este tema de Ayuda. Debe especificar un valor para la propiedad ConfigScopes o UserScopes (o para ambas). |
Force |
Opcional |
Parámetro modificador |
Suprime la visualización de los mensajes de error que no sean graves y que puedan producirse al ejecutar el comando. |
InMemory |
Opcional |
Parámetro modificador |
Crea una referencia de objeto sin confirmar realmente el objeto como cambio permanente. Si se asigna la salida de este cmdlet llamado con este parámetro en una variable, puede realizar cambios en las propiedades de la referencia del objeto y después confirmar estos cambios, llamando a este conjunto coincidente de cmdlet, - cmdlet. |
WhatIf |
Opcional |
Parámetro modificador |
Describe lo que ocurriría si se ejecutara el comando sin ejecutarlo realmente. |
Confirm |
Opcional |
Parámetro modificador |
Solicita confirmación antes de ejecutar el comando. |
Tipos de entrada
Ninguno.
Tipos de valores devueltos
New-CsAdminRole crea nuevas instancias del objeto Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role.
Ejemplo
-------------------------- Ejemplo 1 --------------------------
New-CsAdminRole -Identity "RedmondVoiceAdministrator" -Template "CsVoiceAdministrator"
El comando que se muestra en el Ejemplo 1 duplica el rol RBAC CsVoiceAdministrator. Debido a que no se usan parámetros adicionales, el nuevo rol -- RedmondVoiceAdministrators -- será un duplicado exacto de CsVoiceAdministrator, que comprende las propiedades UserScopes y ConfigScopes configuradas en "global".
-------------------------- Ejemplo 2 --------------------------
New-CsAdminRole -Identity "RedmondVoiceAdministrator" -Template "CsVoiceAdministrator" -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com"
El comando anterior crea un rol RBAC (RedmondVoiceAdministrator) y luego lo configura para permitir un solo ámbito de usuarios: la unidad organizativa Redmond. Para ello, se incluye el parámetro UserScopes, junto con el siguiente valor de parámetro: "OU:ou=Redmond,dc=litwareinc,dc=com". Este valor de parámetro reemplaza el valor actual de la propiedad UserScopes por un elemento: la OU cuyo nombre distintivo (DN) es "ou=Redmond,dc=litwareinc,dc=com".
-------------------------- Ejemplo 3 --------------------------
New-CsAdminRole -Identity "RedmondVoiceAdministrator" -Template "CsVoiceAdministrator" -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com","OU:ou=Portland,dc=litwareinc,dc=com"
El comando que se muestra en el Ejemplo 3 es una variación del que se muestra en el Ejemplo 2; la única diferencia es que aquí se agregan 2 OU a la propiedad UserScopes. Para ello, se asigna una lista separada por comas al método Replace: los dos elementos de la lista representan los identificadores de las dos OU (Redmond y Portland) que se asignarán al rol RBAC.
-------------------------- Ejemplo 4 ------------------------
New-CsAdminRole -Identity "RedmondVoiceAdministrator" -Template "CsVoiceAdministrator" -ConfigScopes "site:Redmond"
En el Ejemplo 4, el sitio con el SiteId Redmond se asigna a la propiedad ConfigScopes para un nuevo rol de RBAC. Tenga en cuenta que la sintaxis de la propiedad ConfigScopes requiere el uso del prefijo "site:" seguido del valor de la propiedad SiteId para el sitio que se agrega.