Remove-CsAdminRole
Última modificación del tema: 2012-03-26
Quita un control de acceso basado en roles (RBAC). Los roles RBAC se usan para especificar las tareas de administración que los usuarios pueden llevar a cabo, así como para determinar el ámbito en que los usuarios podrán desempeñar dichas tareas.
Sintaxis
Remove-CsAdminRole -Identity <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Remove-CsAdminRole -Sid <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Remove-CsAdminRole [-Confirm [<SwitchParameter>]] [-Filter <String>] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Descripción detallada
RBAC permite a los administradores delegar el control de determinadas tareas de administración en Microsoft Lync Server 2010. Por ejemplo, en lugar de conceder todos los privilegios de administrador al servicio de soporte de la organización, puede conceder derechos específicos a estos empleados: derecho a administrar solo cuentas de usuario; derecho a administrar solo componentes de Enterprise Voice; y derecho de administrar solo el archivado y el Servidor de archivado. Además, estos derechos pueden restringirse según el ámbito: un usuario puede tener derecho a administrar Enterprise Voice, pero únicamente en el sitio de Redmond; otro usuario puede tener derecho a administrar usuarios, pero únicamente si las cuentas de dichos usuarios se encuentran en la unidad organizativa (OU) Finance.
La implementación de RBAC de Lync Server 2010 se basa en dos elementos clave: los grupos de seguridad de Active Directory y los cmdlets de Windows PowerShell. Cuando se instala Lync Server 2010, se crean de forma automática varios grupos de seguridad universales, como CsAdministrator, CsArchivingAdministrator y CsViewOnlyAdministrator. Estos grupos de seguridad universales se corresponden de forma individual con los roles RBAC, lo que significa que cualquier usuario que forme parte del grupo de seguridad CsArchivingAdministrator tiene concedidos todos los derechos relacionados con el rol RBAC CsArchivingAdministrator. Asimismo, los derechos concedidos a un rol RBAC se basan en los cmdlets que tiene asignados dicho rol (los cmdlets pueden asignarse a varios roles RBAC). Por ejemplo, supongamos que se han asignado los cmdlets siguientes a un rol:
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
La lista anterior representa los únicos cmdlets que puede ejecutar un usuario al que se haya asignado un supuesto rol RBAC en una sesión remota de Windows PowerShell. Si el usuario intenta ejecutar el cmdlet Disable-CsUser, el mismo producirá un error, porque los usuarios a quienes se asignó el rol hipotético no tienen derecho a ejecutar Disable-CsUser. Esto también se aplica al Panel de control de Lync Server. Por ejemplo, un administrador de archivado no puede deshabilitar a un usuario mediante el Panel de control de Lync Server porque el Panel de control de Lync Server se adhiere a los roles RBAC. (Siempre que se ejecuta un comando en el Panel de control de Lync Server, en realidad, se llama al cmdlet Windows PowerShell.) Si no tiene permitido ejecutar Disable-CsUser, no tendrá importancia que ejecute dicho cmdlet desde Windows PowerShell o indirectamente desde el Panel de control de Lync Server: el comando no se completará correctamente.)
Tenga en cuenta que el RBAC solo se aplica a la administración remota. Si tiene una sesión abierta en un equipo que ejecuta Lync Server 2010 y abre Shell de administración de Lync Server, los roles de RBAC no se aplicarán. En su lugar, la seguridad se aplica principalmente a través de los grupos de seguridad RTCUniversalServerAdmins, RTCUniversalUserAdmins y RTCUniversalReadOnlyAdmins.
Cuando se instala Lync Server 2010, el programa de instalación crea varios roles RBAC integrados que cubren áreas administrativas comunes, como la administración de voz, la administración de usuarios y la administración de grupos de respuesta. Estos roles integrados no pueden modificarse de ninguna forma: no es posible agregar ni quitar cmdlets de los roles, así como tampoco eliminar los roles en sí mismos. (Si intenta eliminar un rol integrado, recibirá un mensaje de error.) No obstante, puede usar los roles integrados para crear roles RBAC personalizados. Los roles personalizados pueden modificarse cambiando los ámbitos administrativos; por ejemplo, puede limitar el rol para administrar las cuentas de usuario que tengan una determinada unidad organizativa de Active Directory.
Puede eliminar todos los roles personalizados que cree con el cmdlet Remove-CsAdminRole. Tenga en cuenta que Remove-CsAdminRole no eliminará el grupo de seguridad de Active Directory que se corresponda con el rol personalizado, así como tampoco quitará ninguno de los miembros que se hayan asignado al grupo. En lugar de ello, el cmdlet simplemente garantiza que este rol personalizado no se pueda usar para delegar el control de Lync Server 2010.
Al eliminar un rol RBAC, Windows PowerShell responderá preguntándole si está seguro de que desea eliminar el rol; si no responde a esta pregunta (o si no responde diciendo Sí), el rol no se eliminará. Para evitar estas preguntas de confirmación, use el parámetro Confirm y establezca el valor del parámetro en $False:
Remove-CsAdminRole RedmondAdministrators –Confirm:$False
Quién puede ejecutar este cmdlet: De forma predeterminada, los miembros de los siguientes grupos tienen autorización para ejecutar el cmdlet Remove-CsAdminRole de manera local: RTCUniversalServerAdmins. Para devolver una lista de todos los roles RBAC, se ha asignado este cmdlet (incluidos los roles RBAC que haya creado usted mismo) para ejecutar el siguiente comando desde el símbolo del sistema de Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsAdminRole"}
Parámetros
| Parámetro | Requerido | Tipo | Descripción |
|---|---|---|---|
Identity |
Opcional |
Cadena de caracteres |
Identificador único del rol RBAC que se va a eliminar. El valor de Identity de un rol RBAC debe ser el mismo que el valor de SamAccountName para el grupo de seguridad universal de Active Directory asociado con dicho rol. Por ejemplo, el rol Asistencia técnica tiene un valor de Identity igual aCsHelpDesk; CsHelpDesk también tiene el mismo valor de SamAccountName que el grupo de seguridad de Active Directory asociado con dicho rol. |
Filter |
Opcional |
Cadena de caracteres |
Permite usar caracteres comodín para especificar los roles RBAC personalizados que se van a eliminar. Por ejemplo, para quitar todos los roles personalizados que contengan el valor de cadena de caracteres "Redmond" en su identidad, puede usar la sintaxis siguiente: -Filter "*Redmond*". |
Sid |
Opcional |
Identificador de seguridad |
Permite usar un identificador de seguridad (SID) para especificar el rol RBAC que se va a eliminar. Lync Server 2010 asigna los SID en el momento de crear el rol RBAC, y son parecidos a esto: S-1-5-21-1573807623-1597889489-1765977225-1145. El SID de un determinado rol RBAC puede recuperarse con el cmdlet Get-CsAdminRole. |
Force |
Opcional |
Parámetro modificador |
Suprime la visualización de los mensajes de error que no sean graves y que puedan producirse al ejecutar el comando. |
WhatIf |
Opcional |
Parámetro modificador |
Describe lo que ocurriría si se ejecutara el comando sin ejecutarlo realmente. |
Confirm |
Opcional |
Parámetro modificador |
Permite eludir la pregunta de confirmación que aparece cuando se intenta suprimir un rol RBAC. Para evitar la pregunta, incluya el parámetro Confirm y establezca el valor del parámetro en $False: Remove-CsAdminRole RedmondAdministrators –Confirm:$False |
Tipos de datos entrados
Objeto Microsoft.Rtc.Management.ADConnect.Schema.ADUser. Remove-CsAdminRole acepta la entrada transferida de objetos de usuario.
Tipos de valores devueltos
Remove-CsAdminRole elimina las instancias del objeto Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role.
Ejemplo
-------------------------- Ejemplo 1 ------------------------
Remove-CsAdminRole -Identity "RedmondHelpDesk"
El comando que se muestra en el Ejemplo 1 elimina el rol RBAC con el valor de Identity RedmondHelpDesk.
-------------------------- Ejemplo 2 ------------------------
Remove-CsAdminRole -Filter "*Redmond*"
El comando anterior elimina todos los roles RBAC que contienen el valor de cadena de caracteres "Redmond" en su identidad (Identity).
-------------------------- Ejemplo 3 ------------------------
Get-CsAdminRole | Where-Object {$_.IsStandardRole -eq $False} | Remove-CsAdminRole
En el ejemplo 3, el comando elimina todos los roles RBAC personalizados que se han creado para el uso en la organización. Para ello, el comando primero llama a Get-CsAdminRole sin parámetros, lo que devuelve una recopilación de los roles RBAC. Esta recopilación se transfiere al cmdlet Where-Object, que selecciona solo los roles en los que la propiedad IsStandardRole es igual a False. Por definición, cualquier rol que cumpla este criterio es un rol personalizado. Asimismo, los roles personalizados se transfieren al cmdlet Remove-CsAdminRole, que los elimina.