Set-CsAdminRole
Última modificación del tema: 2012-03-26
Modifica un rol del control de acceso basado en roles (RBAC). Los roles RBAC se usan para especificar las tareas de administración que los usuarios pueden llevar a cabo, así como para determinar el ámbito en el que los usuarios podrán desempeñar dichas tareas.
Sintaxis
Set-CsAdminRole -Identity <String> [-ConfigScopes <PSListModifier>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-UserScopes <PSListModifier>] [-WhatIf [<SwitchParameter>]]
Descripción detallada
RBAC permite a los administradores delegar el control de ciertas tareas de administración de Microsoft Lync Server 2010. Por ejemplo, en lugar de conceder todos los privilegios de administrador al servicio de asistencia de su organización, puede conceder derechos específicos a estos empleados: el derecho de administrar sólo cuentas de usuario, el derecho de administrar sólo componentes de Enterprise Voice, o el derecho de administrar sólo el archivado y Servidor de archivado. Además, estos derechos pueden restringirse según el ámbito: un usuario puede tener derecho a administrar Enterprise Voice, pero únicamente en el sitio de Redmond; otro usuario puede tener derecho a administrar usuarios, pero únicamente si las cuentas de dichos usuarios se encuentran en la unidad organizativa (OU) Finance.
La implementación de RBAC de Lync Server 2010 se basa en dos elementos clave: los grupos de seguridad de Active Directory y los cmdlets de Windows PowerShell. Al instalar Lync Server 2010, se crean para usted varios grupos de seguridad universal como CsAdministrator, CsArchivingAdministrator y CsViewOnlyAdministrator. Cada grupo de seguridad universal se corresponde con un rol RBAC; esto significa que cualquier usuario que forme parte del grupo de seguridad CsArchivingAdministrator tiene concedidos todos los derechos relacionados con el rol RBAC CsArchivingAdministrator. Asimismo, los derechos concedidos a un rol RBAC se basan en los cmdlets que tiene asignados dicho rol (los cmdlets pueden asignarse a varios roles RBAC). Por ejemplo, imagine que se han asignado los cmdlets siguientes a un rol:
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
La lista anterior representa los únicos cmdlets que puede ejecutar un usuario al que se haya asignado un supuesto rol RBAC en una sesión remota de Windows PowerShell. Si el usuario intenta ejecutar el cmdlet Disable-CsUser, este producirá un error, porque los usuarios a quienes se asignó el rol hipotético no tienen derecho para ejecutar Disable-CsUser. Esto se aplica también a Panel de control de Lync Server. Por ejemplo, un administrador de archivado no puede deshabilitar a un usuario mediante Panel de control de Lync Server porque el Panel de control de Lync Server se adhiere a los roles RBAC. (Siempre que se ejecuta un comando en Panel de control de Lync Server, en realidad, se llama a un cmdlet de Windows PowerShell.) Si no tiene permitido ejecutar Disable-CsUser, no importará si ejecuta este cmdlet directamente desde Windows PowerShell o si ejecuta indirectamente el cmdlet desde Panel de control de Lync Server: el comando no funcionará.
Tenga en cuenta que el RBAC solo se aplica a la administración remota. Si ha iniciado sesión en un equipo que ejecuta Lync Server 2010 y abre Shell de administración de Lync Server, no se exigirán los roles RBAC. Por el contrario, la seguridad se exigirá principalmente a través de los grupos de seguridad RTCUniversalServerAdmins, RTCUniversalUserAdmins y RTCUniversalReadOnlyAdmins.
Al instalar Lync Server 2010, Setup crea varios roles RBAC integrados que abarcan áreas administrativas comunes, como la administración de voz, la administración de usuarios y la administración de grupos de respuesta. Estos roles integrados no pueden modificarse de ninguna forma: no es posible agregar ni quitar cmdlets de los roles, así como tampoco eliminar los roles en sí mismos. (Si intenta eliminar un rol integrado, recibirá un mensaje de error.) No obstante, puede usar los roles integrados para crear roles RBAC personalizados. Los roles personalizados pueden modificarse cambiando los ámbitos administrativos; por ejemplo, puede limitar el rol para administrar las cuentas de usuario que tengan una determinada unidad organizativa de Active Directory.
Cualquier rol personalizado que cree debe estar basado en una plantilla: un rol RBAC existente. Por ejemplo, para crear un rol de administrador de conferencia de acceso telefónico, deberá clonar un rol RBAC existente. Por ejemplo, puede basar el rol de administrador de conferencia de acceso telefónico en el rol de administrador de voz existente. Una vez creado el rol personalizado, puede usar Set-CsAdminRole para modificar sus propiedades.
Quién puede ejecutar este cmdlet: de forma predeterminada, están autorizados para ejecutar el cmdlet Set-CsAdminRole localmente los miembros de los siguientes grupos: RTCUniversalServerAdmins. Para devolver una lista de todos los roles RBAC a los que se ha asignado este cmdlet (incluidos los roles RBAC personalizados que haya creado), ejecute el siguiente comando en el símbolo del sistema de Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsAdminRole"}
Parámetros
Parámetro | Requerido | Tipo | Descripción |
---|---|---|---|
Identity |
Requerido |
Cadena de caracteres |
Identificador único del rol RBAC que se va a modificar. El valor de Identity de un rol RBAC debe ser el mismo que el valor de SamAccountName para el grupo de seguridad universal de Active Directory asociado con dicho rol. Por ejemplo, el rol del servicio de asistencia tiene un valor de Identity igual a CsHelpDesk; CsHelpDesk también tiene el mismo valor de SamAccountName que el grupo de seguridad de Active Directory asociado con dicho rol. |
ConfigScopes |
Opcional |
Modificador de lista PS |
Limita el ámbito del cmdlet para incluir sólo las opciones de configuración del sitio especificado. Para limitar el ámbito del cmdlet a un único sitio, use una sintaxis similar a esta: -ConfigScopes site:Redmond. Pueden especificarse varios sitios usando una lista de sitios separados por comas: -ConfigScopes "site:Redmond, "site:Dublin". También puede definir la propiedad ConfigScopes como "global". Al asignar un valor al parámetro ConfigScopes, debe utilizar el prefijo "site:" seguido del valor de la propiedad SiteId del sitio; el SiteId no tiene por qué ser el mismo valor que la identidad (Identity) del sitio o su DisplayName. Para averiguar el SiteId de un determinado sitio, puede utilizar un comando como este: Get-CsSite "Redmond" | Select-Object SiteId Debe especificar un valor para la propiedad ConfigScopes o UserScopes (o para ambas). |
UserScopes |
Opcional |
Modificador de lista PS |
Limita el ámbito del cmdlet para incluir sólo las actividades de administración de usuarios que estén dentro de la unidad organizativa especificada. Para limitar el ámbito del cmdlet a una sola unidad organizativa, use una sintaxis similar a esta: -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com". Pueden especificarse varias unidades organizativas usando una lista separada por comas: -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com", "OU:ou=Dublin,dc=litwareinc,dc=com". Para agregar o eliminar ámbitos de un rol, deberá usar la sintaxis de modificadores de lista de Windows PowerShell. Para obtener más información, vea los ejemplos de este tema de Ayuda. Debe especificar un valor para la propiedad ConfigScopes o UserScopes (o para ambas). |
Force |
Opcional |
Parámetro modificador |
Suprime la visualización de los mensajes de error que no sean irrecuperables y que puedan surgir al ejecutar el comando. |
WhatIf |
Opcional |
Parámetro modificador |
Describe lo que ocurriría si se ejecutara el comando sin ejecutarlo realmente. |
Confirm |
Opcional |
Parámetro modificador |
Solicita confirmación antes de ejecutar el comando. |
Tipos de entrada
Ninguno.
Tipos de valores devueltos
Set-CsAdminRole no devuelve ningún valor u objeto. Por el contrario, el cmdlet configura instancias del objeto Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role.
Ejemplo
-------------------------- Ejemplo 1 ------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -UserScopes @{Add="OU:ou=Portland,dc=litwareinc,dc=com"}
El comando anterior agrega una unidad organizativa (Portland) a la propiedad UserScopes del rol RBAC RedmondVoiceAdministrators. Para ello, el comando incluye el parámetro UserScopes y el siguiente valor de parámetro: @{Add="OU:ou=Portland,dc=litwareinc,dc=com"}. Esta sintaxis agrega la unidad organizativa con el nombre distintivo "ou=Portland,dc=litwareinc,dc=com" a las unidades organizativas que ya estén en la propiedad UserScopes.
-------------------------- Ejemplo 2 ------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -UserScopes @{Remove="OU:ou=Portland,dc=litwareinc,dc=com"}
El comando del Ejemplo 2 quita la unidad organizativa Portland del rol RBAC RedmondVoiceAdministrators. Para ello, el comando incluye el parámetro UserScopes y el siguiente valor de parámetro: @{Remove="OU:ou=Portland,dc=litwareinc,dc=com"}. Esta sintaxis elimina la unidad organizativa con el nombre distintivo "ou=Portland,dc=litwareinc,dc=com" de la recopilación de unidades organizativas que ya están en la propiedad UserScopes.
-------------------------- Ejemplo 3 ------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Add="site:Redmond"}
En el Ejemplo 3, se agrega un nuevo sitio (con SiteId Redmond) a la propiedad ConfigScopes del rol RBAC RedmondVoiceAdministrators. Para ello, el comando incluye el parámetro ConfigScopes y el siguiente valor de parámetro: @{Add="OU:ou=Portland,dc=litwareinc,dc=com"}. Esta sintaxis agrega el sitio de Redmond a los elementos que ya estén en la propiedad ConfigScopes.
-------------------------- Ejemplo 4 ------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Remove="siteRedmond"}
El comando del Ejemplo 4 quita el sitio de Redmond del rol RBAC RedmondVoiceAdministrators. Para ello, el comando incluye el parámetro ConfigScopes y el siguiente valor de parámetro: @{Remove="site:Redmond"}. Este parámetro elimina el sitio de Redmond de la recopilación de elementos que ya están en la propiedad ConfigScopes. Tenga en cuenta que este comando no funcionará si el sitio Redmond es el único de la propiedad ConfigScopes. Si desea eliminar el único sitio de la propiedad ConfigScopes, debe utilizar un comando similar a este, que sustituye todos los elementos de ConfigScopes con la propiedad Global:
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Replace="Global"}