Compartir a través de


Grant-CsExternalAccessPolicy

 

Última modificación del tema: 2012-03-23

Permite asignar una directiva de acceso externo para un usuario o grupo de usuarios. Las directivas de acceso externo determinan si los usuarios pueden: 1) comunicarse con usuarios que tengan cuentas de Protocolo de inicio de sesión (SIP) con una organización federada; 2) comunicarse con otros usuarios que tengan cuentas SIP con un proveedor público de mensajería instantánea (MI) como MSN y 3) obtener acceso a Microsoft Lync Server 2010 a través de Internet, sin tener que iniciar sesión en la red interna.

Sintaxis

Grant-CsExternalAccessPolicy -Identity <UserIdParameter> [-PolicyName <String>] [-Confirm [<SwitchParameter>]] [-DomainController <Fqdn>] [-PassThru <SwitchParameter>] [-WhatIf [<SwitchParameter>]]

Descripción detallada

Cuando instala Lync Server 2010, los usuarios pueden intercambiar entre sí únicamente mensajes instantáneos e información de presencia: de forma predeterminada, solo pueden comunicarse con otras personas que tengan cuentas SIP en su implementación de Active Directory Domain Services (AD DS). Además, los usuarios no tienen permiso para obtener acceso a Lync Server por Internet; por el contrario, deben haber iniciado sesión en la red interna antes de poder iniciar sesión en Lync Server.

Debería ser suficiente para satisfacer sus necesidades comunicativas. Si no responde a sus necesidades, puede usar directivas de acceso externo para ampliar la capacidad de los usuarios de comunicarse y colaborar. Las directivas de acceso externo pueden conceder (o revocar) la capacidad de los usuarios para realizar todas estas acciones o alguna de ellas:

1. Comunicarse con personas que tengan cuentas SIP con una organización federada. Tenga en cuenta que la activación de la federación no implica que los usuarios vayan a disponer de esta capacidad automáticamente. En su lugar, tendrá que habilitar la federación y, a continuación, asignar a los usuarios una directiva de acceso externo que les conceda al derecho a comunicarse con usuarios federados.

2. Comunicarse con personas que tengan cuentas SIP con un servicio público de mensajería instantánea, como MSN.

3. Obtener acceso a Lync Server por Internet, sin tener que iniciar sesión primero en la red interna. Esto permite a los usuarios utilizar Microsoft Lync 2010 e iniciar sesión en Lync Server desde un cibercafé u otras ubicaciones remotas.

Al instalar Lync Server se crea una directiva de acceso externo global automáticamente. Además de esta directiva global, puede usar New-CsExternalAccessPolicy para crear más directivas de acceso externo configuradas en el ámbito de sitio o por usuario.

Al crear una directiva en el ámbito de sitio, ésta se asigna automáticamente al sitio en cuestión; por ejemplo, una directiva de acceso externo con Identity site:Redmond se asignará automáticamente al sitio Redmond. Por el contrario, las directivas creadas en el ámbito por usuario no se asignan automáticamente a nadie. Deben asignarse explícitamente a un usuario o grupo de usuarios. La asignación de directivas por usuario es tarea del cmdlet Grant-CsExternalAccessPolicy.

Tenga en cuenta que las directivas por usuario siempre tienen prioridad sobre las directivas de sitio y las directivas globales. Por ejemplo, supongamos que crea una directiva por usuario que permite la comunicación con usuarios federados, y se la asigna a Ken Myer. Mientras dicha directiva esté en vigor, Ken podrá comunicarse con usuarios federados, incluso aunque la directiva del sitio de Ken o la directiva global no permitan este tipo de comunicación. Esto se debe a que la configuración de la directiva por usuario tiene prioridad.

Quién puede ejecutar este cmdlet: de forma predeterminada, los miembros de los siguientes grupos tienen autorización para ejecutar el cmdlet Grant-CsExternalAccessPolicy localmente: RTCUniversalUserAdmins. Para obtener una lista de todos los roles de control de acceso basado en rol (RBAC), este rol se ha asignado (así como cualquier otro rol RBAC personalizado que haya creado) para ejecutar el siguiente comando desde el símbolo del sistema Windows PowerShell:

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Grant-CsExternalAccessPolicy"}

Parámetros

Parámetro Requerido Tipo Descripción

Identity

Requerido

Identidad Xds

identidad de la cuenta de usuario a la que se debe asignar la directiva. Las identidades de usuario pueden especificarse con cuatro formatos: 1) la dirección SIP del usuario; 2) el nombre principal del usuario (UPN); 3) el nombre del dominio y el nombre de inicio de sesión del usuario, con formato dominio\nombre (por ejemplo, litwareinc\kenmyer), y 4) el nombre para mostrar de Active Directory del usuario (por ejemplo, Ken Myer). También se puede hacer referencia a las identidades de usuario por medio del nombre distintivo de Active Directory del usuario.

Además, puede usar el asterisco (*) como carácter comodín al especificar la Identity del usuario. Por ejemplo, un valor de Identity "* Smith" devuelve todos los usuarios con un nombre para mostrar que termine con el valor de cadena de caracteres " Smith".

PolicyName

Requerido

Cadena de caracteres

"Nombre" de la directiva que se asignará. PolicyName es, simplemente, el valor de Identity de la directiva menos el ámbito de sitio (prefijo "tag:" ). Por ejemplo, una directiva con la Identity tag:Redmond tiene un valor de PolicyName igual a Redmond; una directiva con la Identity tag:RedmondAccessPolicy tiene un valor de PolicyName igual a RedmondAccessPolicy.

Para quitar la asignación de una directiva por usuario asignada anteriormente a un usuario, establezca el parámetro PolicyName en $Null.

DomainController

Opcional

Cadena de caracteres

Permite especificar el nombre de dominio completo (FQDN) de un controlador de dominio con el que se debe poner en contacto al asignar la nueva directiva. Si no especifica este parámetro, Grant-CsExternalAccessPolicy se pondrá en contacto con el primer controlador de dominio disponible.

PassThru

Opcional

Parámetro modificador

Permite enviar un objeto de usuario a través de la canalización que representa el usuario al que se está asignando la directiva. De forma predeterminada, el cmdlet Grant-CsExternalAccessPolicy no transfiere objetos a través de la canalización.

WhatIf

Opcional

Parámetro modificador

Describe lo que ocurriría si se ejecutara el comando sin ejecutarlo realmente.

Confirm

Opcional

Parámetro modificador

Solicita confirmación antes de ejecutar el comando.

Tipos de entrada

Valor de cadena u objeto Microsoft.Rtc.Management.ADConnect.Schema.ADUser. Grant-CsExternalAccessPolicy acepta entradas transferidas de valores de cadena que representen el parámetro Identity de una cuenta de usuario. Este cmdlet también acepta la entrada transferida de objetos de usuario.

Tipos de valores devueltos

De forma predeterminada, Grant-CsExternalAccessPolicy no devuelve ningún valor ni objeto. Sin embargo, si incluye el parámetro PassThru, el cmdlet devolverá instancias del objeto Microsoft.Rtc.Management.ADConnect.Schema.OCSUserOrAppContact.

Ejemplo

-------------------------- Ejemplo 1 ------------------------

Grant-CsExternalAccessPolicy -Identity "Ken Myer" -PolicyName RedmondAccessPolicy

El comando anterior asigna la directiva de acceso externo RedmondAccessPolicy al usuario con el nombre para mostrar Ken Myer en Active Directory.

-------------------------- Ejemplo 2 ------------------------

Get-CsUser -LDAPFilter "l=Redmond" | Grant-CsExternalAccessPolicy -PolicyName RedmondAccessPolicy

El comando que aparece en el Ejemplo 2 asigna la directiva de acceso externo RedmondAccessPolicy a todos los usuarios que trabajan en la ciudad de Redmond. Para ello, el comando usa primero Get-CsUser y el parámetro LDAPFilter para devolver una colección de todos los usuarios que trabajan en Redmond. El valor de filtro "l=Redmond" limita los datos devueltos a aquellos usuarios que trabajan en la ciudad de Redmond (la L minúscula en el filtro representa la localidad). A continuación, esta colección se transfiere a Grant-CsExternalAccessPolicy, que asigna la directiva RedmondAccessPolicy a todos los usuarios de la colección.

-------------------------- Ejemplo 3 ------------------------

Get-CsUser -LDAPFilter "Title=Sales Representative" | Grant-CsExternalAccessPolicy -PolicyName SalesAccessPolicy

En el Ejemplo 3 se asigna la directiva de acceso externo SalesAccessPolicy a todos los usuarios que tienen el puesto "Sales Representative" (Representante de venta). Para realizar esta tarea, el comando usa en primer lugar Get-CsUser y el parámetro LDAPFilter para devolver una colección de todos los Sales Representatives; el valor de filtro "Title=Sales Representative" restringe la colección devuelta a aquellos usuarios que ostentan el puesto "Sales Representative". A continuación, esta colección filtrada se transfiere a Grant-CsExternalAccessPolicy, que asigna la directiva SalesAccessPolicy a todos los usuarios de la colección.

-------------------------- Ejemplo 4 ------------------------

Get-CsUser -Filter {ExternalAccessPolicy -eq $Null} | Grant-CsExternalAccessPolicy -PolicyName BasicAccessPolicy

El comando que aparece en el Ejemplo 4 asigna la directiva de acceso externo RedmondAccessPolicy a todos los usuarios que no tienen asignada explícitamente una directiva por usuario, es decir, usuarios que se rigen por la directiva de sitio o por la directiva global. Para ello, se usa Get-CsUser y el parámetro Filter para devolver el conjunto adecuado de usuarios; el valor de filtro {ExternalAccessPolicy -eq $Null} limita los datos devueltos a aquellas cuentas de usuario en las que la propiedad ExternalAccessPolicy es igual a (-eq) un valor nulo ($Null). Por definición, ExternalAccessPolicy sólo será nulo si los usuarios no tienen asignada una directiva por usuario.

A continuación, esta colección filtrada se transfiere a Grant-CsExternalAccessPolicy, que asigna la directiva BasicAccessPolicy a todos los usuarios de la colección.

-------------------------- Ejemplo 5 ------------------------

Get-CsUser -OU "ou=US,dc=litwareinc,dc=com" | Grant-CsExternalAccessPolicy -PolicyName USAccessPolicy

El comando anterior asigna la directiva de acceso externo USAccessPolicy a todos los usuarios que tienen cuentas en la unidad organizativa (OU) de EE.UU. El comando comienza llamando a Get-CsUser y el parámetro OU; el valor de parámetro "ou=US,dc=litwareinc,dc=com" limita los datos devueltos a las cuentas de usuario que se encuentran en la unidad organizativa de EE.UU. A continuación, la colección devuelta se transfiere a Grant-CsExternalAccessPolicy, que asigna la directiva USAccessPolicy a todos los usuarios de la colección.

-------------------------- Ejemplo 6 ------------------------

Get-CsUser | Grant-CsExternalAccessPolicy -PolicyName $Null

En el ejemplo 6 se cancela la asignación de cualquier directiva de acceso externo por usuario asignada anteriormente a cualquier usuario habilitado para Lync Server. Para ello, el comando llama a Get-CsUser (sin ningún parámetro adicional) para devolver una colección de todos los usuarios habilitados para Lync Server. A continuación, esta colección se transfiere a Grant-CsExternalAccessPolicy, que usa la sintaxis "-PolicyName $Null" para quitar cualquier directiva de acceso externo por usuario asignada anteriormente a estos usuarios.