Get-CsAdminRole
Última modificación del tema: 2012-03-23
Devuelve información sobre los roles de control de acceso basado en roles (RBAC) que usa la organización. Los roles RBAC se usan para especificar las tareas de administración que los usuarios pueden llevar a cabo, así como para determinar el ámbito en el que los usuarios podrán desempeñar dichas tareas.
Sintaxis
Get-CsAdminRole [-Identity <String>] [-LocalStore <SwitchParameter>]
Get-CsAdminRole [-Sid <String>] [-LocalStore <SwitchParameter>]
Get-CsAdminRole [-Filter <String>] [-LocalStore <SwitchParameter>]
Descripción detallada
El control de acceso basado en roles (RBAC) permite a los administradores delegar el control de determinadas tareas de administración de Microsoft Lync Server 2010. Por ejemplo, en lugar de conceder al servicio de asistencia de su organización todos los privilegios de administrador, puede dar a los empleados derechos muy concretos, como el derecho de administrar solamente cuentas de usuario, el derecho de administrar sólo componentes de Enterprise Voice, o el derecho de administrar únicamente el archivado y Servidor de archivado. Además, estos derechos pueden restringirse según el ámbito: un usuario puede tener derecho a administrar Enterprise Voice, pero únicamente en el sitio de Redmond; otro usuario puede tener derecho a administrar usuarios, pero únicamente si las cuentas de dichos usuarios se encuentran en la unidad organizativa (OU) Finance.
La implementación de RBAC de Lync Server 2010 se basa en dos elementos clave: los grupos de seguridad de Active Directory y los cmdlets de Windows PowerShell. Al instalar Lync Server 2010, se crean para usted varios grupos de seguridad universal como CsAdministrator, CsArchivingAdministrator y CsViewOnlyAdministrator. Cada grupo de seguridad universal se corresponde con un rol RBAC; esto significa que cualquier usuario que forme parte del grupo de seguridad CsArchivingAdministrator tiene concedidos todos los derechos relacionados con el rol RBAC CsArchivingAdministrator. Asimismo, los derechos concedidos a un rol RBAC se basan en los cmdlets que tiene asignados dicho rol (los cmdlets pueden asignarse a varios roles RBAC). Por ejemplo, imagine que se han asignado los cmdlets siguientes a un rol:
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
La lista anterior representa los únicos cmdlets que puede ejecutar un usuario al que se haya asignado un supuesto rol RBAC en una sesión remota de Windows PowerShell. Si el usuario intenta ejecutar el cmdlet Disable-CsUser, este producirá un error, porque los usuarios a quienes se asignó el rol hipotético no tienen derecho para ejecutar Disable-CsUser. Esto se aplica también a la Panel de control de Lync Server. Por ejemplo, un administrador de archivado no puede deshabilitar a un usuario mediante Panel de control de Lync Server porque el Panel de control de Lync Server se adhiere a los roles RBAC. (Siempre que se ejecuta un comando en Panel de control de Lync Server, en realidad, se llama a un cmdlet de Windows PowerShell.) Si no tiene permitido ejecutar Disable-CsUser, no importará si ejecuta este cmdlet directamente desde una sesión remota de Windows PowerShell o si lo ejecuta indirectamente desde Panel de control de Lync Server: el comando no funcionará.
Tenga en cuenta que el RBAC solo se aplica a la administración remota. Si ha iniciado sesión en un equipo que ejecuta Lync Server 2010 y abre Shell de administración de Lync Server, no se exigirán los roles RBAC. Por el contrario, la seguridad se exigirá principalmente a través de los grupos de seguridad RTCUniversalServerAdmins, RTCUniversalUserAdmins y RTCUniversalReadOnlyAdmins.
Al instalar Lync Server 2010, Setup crea varios roles RBAC integrados. Estos roles abarcan áreas administrativas comunes como la administración de voz, la administración de usuarios y la administración de grupos de respuesta. Estos roles integrados no pueden modificarse de ninguna forma: no es posible agregar ni quitar cmdlets de los roles, así como tampoco se pueden eliminar los propios roles. (Si intenta eliminar un rol integrado, recibirá un mensaje de error.) No obstante, puede usar los roles integrados para crear roles RBAC personalizados. Los roles personalizados se pueden modificar cambiando los ámbitos administrativos. Por ejemplo, puede limitar el rol para que administre las cuentas de usuario con una UO de Active Directory determinada.
El cmdlet Get-CsAdminRole devuelve información sobre todos los roles RBAC disponibles para usar en su organización.
Quién puede ejecutar este cmdlet: de forma predeterminada, están autorizados para ejecutar el cmdlet Get-CsAdminRole localmente los miembros de los siguientes grupos: RTCUniversalUserAdmins, RTCUniversalServerAdmins y RTCUniversalReadOnlyAdmins. Para devolver una lista de todos los roles RBAC a los que se ha asignado este cmdlet (incluidos los roles RBAC personalizados que haya creado), ejecute el siguiente comando en el símbolo del sistema de Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Get-CsAdminRole\b"}
Parámetros
Parámetro | Requerido | Tipo | Descripción |
---|---|---|---|
Identity |
Opcional |
Cadena de caracteres |
Identificador único del rol RBAC que se devolverá. El valor de Identity de un rol RBAC debe ser el mismo que el valor de SamAccountName para el grupo de seguridad universal de Active Directory asociado con dicho rol. Por ejemplo, el rol del servicio de asistencia tiene un valor de Identity igual a CsHelpDesk; CsHelpDesk también tiene el mismo valor de SamAccountName que el grupo de seguridad de Active Directory asociado con dicho rol. |
Filter |
Opcional |
Cadena de caracteres |
Permite usar caracteres comodín para especificar el rol o roles RBAC que se van a devolver. Por ejemplo, para que se devuelvan todos los roles que contengan el valor de cadena de caracteres "Redmond" en su identidad, puede usar la sintaxis siguiente: -Filter "*Redmond*". |
Sid |
Opcional |
Identificador de seguridad |
Permite usar un identificador de seguridad (SID) para especificar el rol RBAC que se devolverá. Lync Server 2010 asigna los SID en el momento en el que se crea el rol RBAC; los SID tienen un formato similar a este: S-1-5-21-1573807623-1597889489-1765977225-1145. Puede encontrar este mismo SID en el grupo de seguridad de Active Directory correspondiente. |
LocalStore |
Opcional |
Parámetro modificador |
Recupera los datos de RBAC a partir de la réplica local del Almacén de administración central, en lugar del propio Almacén de administración central. |
Tipos de entrada
Ninguno.
Tipos de valores devueltos
Get-CsAdminRole devuelve instancias del objeto Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role.
Ejemplo
-------------------------- Ejemplo 1 ------------------------
Get-CsAdminRole
El comando mostrado en el Ejemplo 1 devuelve información sobre todos los roles RBAC configurados para su uso en la organización. Para ello, se llama a Get-CsAdminRole sin ningún parámetro.
-------------------------- Ejemplo 2 ------------------------
Get-CsAdminRole -Identity "CsHelpDesk"
En el Ejemplo 2 se devuelve un único rol RBAC: el que tiene la identidad CsHelpDesk.
-------------------------- Ejemplo 3 ------------------------
Get-CsAdminRole -Filter "*Voice*"
El comando anterior devuelve todos los roles RBAC que contienen el valor de cadena de caracteres "Voice" en su identidad (Identity); por ejemplo CsVoiceAdministrator, RedmondVoiceAdministrators, etc. Para ello, se llama a Get-CsAdminRole con el parámetro Filter; el valor de filtro "*Voice*" limita los datos que se devuelven para incluir sólo los roles RBAC que tengan la cadena de caracteres "Voice" en algún lugar del valor Identity.
-------------------------- Ejemplo 4 ------------------------
Get-CsAdminRole | Where-Object {$_.IsStandardRole -eq $False}
El Ejemplo 4 devuelve todos los roles RBAC personalizados que se han creado para su uso en la organización. Para llevar a cabo esta tarea, el comando primero usa Get-CsAdminRole para devolver una recopilación de todos los roles RBAC que están en uso. A continuación, esta recopilación se transfiere al cmdlet Where-Object, que únicamente selecciona los roles cuya propiedad IsStandardRole sea igual a False. Por definición, cualquier rol que cumpla este criterio es un rol RBAC personalizado.
-------------------------- Ejemplo 5 ------------------------
Get-CsAdminRole | Where-Object {$_.Cmdlets -match "Set-CsUser\b"}
El comando del Ejemplo 5 devuelve todos los roles RBAC que incluyan el cmdlet Set-CsUser. Para ello, el comando primero llama a Get-CsAdminRole sin ningún parámetro para devolver una recopilación de todos los roles RBAC de la organización. A continuación, la recopilación se transfiere a Where-Object, que selecciona los roles en los que la propiedad Cmdlets incluye el valor alfanumérico "Set-CsUser". (\b es un marcador de límite de palabra que indica que "Set-CsUser" representa el valor alfanumérico completo.)
-------------------------- Ejemplo 6 ------------------------
Get-CsAdminRole | Where-Object {$_.UserScopes -match "OU: ou=Redmond,dc=litwareinc,dc=com"}
El Ejemplo 6 devuelve información sobre todos los roles RBAC que incluyan la unidad organizativa (OU) especificada (ou=Redmond, dc=litwareinc, dc=com) en la propiedad UserScopes. Para llevar a cabo esta tarea, el comando primero llama a Get-CsAdminRole para devolver una recopilación de todos los roles RBAC configurados para su uso. Esta recopilación se transfiere a Where-Object, que selecciona todos los roles que incluyen el valor alfanumérico "OU:ou=Redmond,dc=litwareinc,dc=com" en la propiedad UserScopes.
-------------------------- Ejemplo 7 ------------------------
Get-CsAdminRole -Identity "CsVoiceAdministrator" | Select-Object -ExpandProperty Cmdlets
El comando anterior devuelve una lista de todos los cmdlets incluidos en el rol CsVoiceAdministrator role. Para ello, el comando usa primero Get-CsAdminRole para devolver todas las propiedades y los valores de propiedades de CsVoiceAdministrator. Esta información se transfiere al cmdlet Select-Object, que usa el parámetro ExpandProperty para mostrar todos los elementos que contiene la propiedad Cmdlets.