New-CsAdminRole
Ultima modifica dell'argomento: 2012-03-23
Consente di creare un nuovo ruolo RBAC (controllo dell'accesso basato sui ruoli). I ruoli RBAC vengono utilizzati per definire le attività di gestione che gli utenti sono autorizzati a svolgere e l'ambito in cui sono autorizzati a operare.
Sintassi
New-CsAdminRole -Identity <String> -Template <String> [-ConfigScopes <PSListModifier>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-InMemory <SwitchParameter>] [-UserScopes <PSListModifier>] [-WhatIf [<SwitchParameter>]]
Descrizione dettagliata
Il controllo RBAC abilita gli amministratori a delegare il controllo di specifiche attività di gestione in Microsoft Lync Server 2010. Ad esempio, invece di concedere al personale dell'Help Desk dell'organizzazione i privilegi completi di amministratore, è possibile concedergli diritti molto specifici: il diritto di gestire esclusivamente gli account utente; il diritto di gestire esclusivamente i componenti di VoIP aziendale; il diritto di gestire esclusivamente l'archiviazione e Server di archiviazione. Inoltre, questi diritti possono essere circoscritti in un ambito: a qualcuno può essere concesso il diritto di gestire VoIP aziendale, ma soltanto nel sito Redmond; a qualcun altro può essere concesso il diritto di gestire gli utenti, ma soltanto se i loro account appartengono all'unità organizzativa Finance.
L'implementazione del controllo RBAC in Lync Server 2010 è basata su due elementi chiave: i gruppi di sicurezza di Active Directory e i cmdlet di Windows PowerShell. Quando si installa Lync Server 2010, viene creato un determinato numero di gruppi di sicurezza universali: CsAdministrator, CsArchivingAdministrator, CsHelpDesk e simili. Questi gruppi di sicurezza universali hanno una corrispondenza uno a uno con i ruoli RBAC; ciò significa che ogni utente del gruppo di sicurezza CsArchivingAdministrator dispone di tutti i diritti concessi al ruolo RBAC CsArchivingAdministrator. A loro volta, i diritti concessi a un ruolo RBAC sono basati sui cmdlet assegnati a quel ruolo (i cmdlet possono essere assegnati a più ruoli RBAC). Ad esempio, si supponga che a un ruolo siano stati assegnati i seguenti cmdlet:
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
L'elenco sopra riportato include gli unici cmdlet che un utente, a cui è stato assegnato un ipotetico ruolo di controllo di accesso basato sui ruoli, è autorizzato a eseguire durante una sessione di Windows PowerShell remota. Se l'utente tenta di eseguire il cmdlet Disable-CsUser, tale comando avrà esito negativo perché gli utenti a cui è stato assegnato quell'ipotetico ruolo non sono autorizzati a eseguire il cmdlet Disable-CsUser. Lo stesso vale per il Pannello di controllo di Lync Server. Un amministratore dell'archiviazione, ad esempio, non è autorizzato a disabilitare un utente utilizzando il Pannello di controllo di Lync Server in quanto il Pannello di controllo di Lync Server è soggetto ai ruoli di controllo di accesso basato sui ruoli. Ogni volta che si esegue un comando in Pannello di controllo di Lync Server, in realtà si sta chiamando un cmdlet di Windows PowerShell. Se non si è autorizzati a eseguire il cmdlet Disable-CsUser, non avrà alcuna importanza se si tenta di eseguirlo direttamente da Windows PowerShell o indirettamente nel Pannello di controllo di Lync Server: il comando avrà comunque esito negativo.
Si noti che il ruolo RBAC si applica solo alla gestione remota. Se si è collegati a un computer con Lync Server 2010 e si apre Lync Server Management Shell, i ruoli RBAC non verranno applicati. In questo caso, la protezione viene garantita principalmente attraverso i gruppi di sicurezza RTCUniversalServerAdmins, RTCUniversalUserAdmins, RTCUniversalReadOnlyAdmins.
Quando si installa Lync Server 2010, vengono creati numerosi ruoli RBAC incorporati. Questi ruoli riguardano le aree amministrative comuni come l'amministrazione dell'audio, la gestione degli utenti e l'amministrazione di Response Group. Non è possibile modificare in alcun modo questi ruoli incorporati: è impossibile aggiungere o rimuovere cmdlet ai ruoli né è possibile eliminare questi ruoli. Qualunque tentativo di eliminare un ruolo incorporato provocherà un errore. Tuttavia, è possibile utilizzare i ruoli incorporati come base per la creazione di ruoli RBAC personalizzati. È possibile modificare questi ruoli personalizzati cambiandone gli ambiti amministrativi; ad esempio, si potrebbe restringere l'ambito del ruolo di gestione degli account utente limitandolo a una determinata unità organizzativa di Active Directory.
Per creare un nuovo ruolo, è innanzitutto necessario creare un gruppo di sicurezza universale in Servizi di dominio Active Directory che condivida un nome con il ruolo; ad esempio, per creare un nuovo ruolo denominato DialInConferencingAdministrator, è necessario creare un gruppo di sicurezza in cui SamAccountName è DialInConferencingAdministrator. Si noti che il cmdlet New-CsAdminRole non creerà automaticamente questo gruppo. Se, quando si utilizza il cmdlet New-CsAdminRole, il gruppo DialInConferencingAdministrator non esiste, il comando avrà esito negativo. L'identità assegnata al nuovo ruolo deve essere il SamAccountName del corrispondente gruppo di Active Directory.
Dopo aver creato il gruppo di sicurezza di Active Directory, è necessario selezionare un ruolo RBAC incorporato come modello per il nuovo ruolo personalizzato. Non è possibile creare un ruolo RBAC "vuoto" utilizzando il cmdlet New-CsAdminRole. In effetti, tutti i ruoli personalizzati devono essere basati su uno dei ruoli RBAC incorporato. Ciò significa che un ruolo personalizzato deve avere gli stessi cmdlet assegnati a uno dei ruoli incorporati. Tuttavia, è possibile utilizzare il cmdlet Set-CsAdminRole per modificare l'ambito amministrativo del ruolo personalizzato.
Utenti autorizzati a utilizzare questo cmdlet: per impostazione predefinita, il cmdlet New-CsAdminRole può essere utilizzato localmente dai membri dei seguenti gruppi: RTCUniversalServerAdmins. Per ottenere un elenco di tutti i ruoli RBAC (controllo dell'accesso basato sui ruoli) a cui è stato assegnato questo cmdlet (inclusi eventuali ruoli RBAC personalizzati), utilizzare il seguente comando dal prompt di Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsAdminRole"}
Parametri
| Parametro | Obbligatorio | Tipo | Descrizione |
|---|---|---|---|
Identity |
Obbligatorio |
Stringa |
Identificatore univoco per il ruolo RBAC da creare. L'identità di un ruolo RBAC deve essere uguale al SamAccountName del gruppo di sicurezza universale di Active Directory associato a quel ruolo. Ad esempio, il ruolo Help Desk ha un'identità uguale a CsHelpDesk; CsHelpDesk è anche il valore SamAccountName del gruppo di sicurezza di Active Directory associato a quel ruolo. |
Template |
Obbligatorio |
Stringa |
Il nome del ruolo RBAC incorporato che fungerà da modello per il nuovo ruolo RBAC personalizzato in corso di creazione. Tutti i nuovi ruoli RBAC devono essere basati su un ruolo esistente; non è possibile creare un ruolo RBAC "vuoto", cioè un ruolo a cui non sono assegnati cmdlet o con un valore assegnato per la proprietà ConfigScope o UserScope. Tuttavia, una volta creato il nuovo ruolo personalizzato, sarà possibile utilizzare il cmdlet Set-CsAdminRole per modificarne le proprietà. |
ConfigScopes |
Facoltativo |
Modificatore dell'elenco PS |
Utilizzato per limitare l'ambito del cmdlet alle impostazioni di configurazione del sito specificato. Per limitare l'ambito del cmdlet a un singolo sito, utilizzare una sintassi simile alla seguente: -ConfigScopes site:Redmond. È possibile specificare più siti separandoli con una virgola: -ConfigScopes "site:Redmond, "site:Dublin". È altresì possibile impostare la proprietà ConfigScopes su "global". Quando si assegna un valore al parametro ConfigScopes, è necessario utilizzare il prefisso "site:" seguito dal valore della proprietà SiteId del sito. Si noti che SiteID non ha necessariamente lo stesso valore del parametro Identity o DisplayName del sito. Per stabilire il valore di SiteId per un determinato sito, utilizzare un comando simile al seguente: Get-CsSite "Redmond" | Select-Object SiteId È necessario specificare un valore per almeno una delle proprietà ConfigScopes e UserScopes. |
UserScopes |
Facoltativo |
Modificatore dell'elenco PS |
Utilizzato per limitare l'ambito del cmdlet alle attività di gestione degli utenti per l'unità organizzativa specificata. Per limitare l'ambito del cmdlet a una singola unità organizzativa (OU), utilizzare una sintassi simile alla seguente: -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com". È possibile specificare più unità organizzative separandole con una virgola: -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com", "OU:ou=Dublin,dc=litwareinc,dc=com". Per aggiungere nuovi ambiti o rimuovere ambiti esistenti da un ruolo, utilizzare la sintassi dei modificatori di elenco di Windows PowerShell. Per informazioni dettagliate, vedere la sezione Esempi in questo argomento. È necessario specificare un valore per almeno una delle proprietà ConfigScopes e UserScopes. |
Force |
Facoltativo |
Parametro opzionale |
Consente di evitare la visualizzazione di qualunque messaggio di errore non grave che potrebbe essere generato nel corso dell'esecuzione del comando. |
InMemory |
Facoltativo |
Parametro opzionale |
Crea un riferimento a un oggetto senza eseguire realmente il commit dell'oggetto come modifica permanente. Se si assegna l'output del cmdlet chiamato con questo parametro a una variabile, è possibile apportare modifiche alle proprietà del riferimento all'oggetto e quindi eseguire il commit di queste modifiche chiamando il cmdlet Set- corrispondente. |
WhatIf |
Facoltativo |
Parametro opzionale |
Descrive ciò che accadrebbe se si eseguisse il comando senza eseguirlo realmente. |
Confirm |
Facoltativo |
Parametro opzionale |
Viene visualizzata una richiesta di conferma prima di eseguire il comando. |
Tipi di input
Nessuno.
Tipi restituiti
New-CsAdminRole crea nuove istanze dell'oggetto Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role.
Esempio
-------------------------- Esempio 1 --------------------------
New-CsAdminRole -Identity "RedmondVoiceAdministrator" -Template "CsVoiceAdministrator"
Il comando riportato nell'Esempio 1 consente di duplicare il ruolo RBAC CsVoiceAdministrator. Poiché non sono stati specificati parametri aggiuntivi, il nuovo ruolo (RedmondVoiceAdministrators) sarà un duplicato perfetto di CsVoiceAdministrator in cui entrambe le proprietà UserScopes e ConfigScopes sono impostate su "global".
-------------------------- Esempio 2 --------------------------
New-CsAdminRole -Identity "RedmondVoiceAdministrator" -Template "CsVoiceAdministrator" -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com"
Il comando precedente consente di creare un nuovo ruolo di controllo di accesso basato sui ruoli (RedmondVoiceAdministrator) e di configurarlo per l'ambito di un utente singolo: l'unità organizzativa (OU) Redmond. Per ottenere questo risultato, viene incluso il parametro UserScopes insieme al seguente valore: "OU:ou=Redmond,dc=litwareinc,dc=com". Questo valore sostituisce il valore corrente della proprietà UserScopes con un elemento: l'unità organizzativa (OU) con il nome distinto "ou=Redmond,dc=litwareinc,dc=com".
-------------------------- Esempio 3 --------------------------
New-CsAdminRole -Identity "RedmondVoiceAdministrator" -Template "CsVoiceAdministrator" -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com","OU:ou=Portland,dc=litwareinc,dc=com"
Il comando riportato nell'Esempio 3 è una variante del comando riportato nell'Esempio, con la sola differenza che, in questo esempio, alla proprietà UserScopes vengono aggiunte 2 unità organizzative. Per ottenere questo risultato, al metodo Sostituisci viene assegnato un elenco di elementi delimitati da virgole: i due elementi nell'elenco rappresentano gli identificatori delle due unità organizzative Redmond e Portland da assegnare al nuovo ruolo RBAC.
-------------------------- Esempio 4 ------------------------
New-CsAdminRole -Identity "RedmondVoiceAdministrator" -Template "CsVoiceAdministrator" -ConfigScopes "site:Redmond"
Nell'Esempio 4, il sito con SiteId Redmond è assegnato alla proprietà ConfigScopes per un nuovo ruolo RBAC. Si noti che la sintassi per la proprietà ConfigScopes prevede che il prefisso "site:" sia seguito dal valore della proprietà SiteId per il sito da aggiungere.