Remove-CsAdminRole
Ultima modifica dell'argomento: 2012-03-26
Rimuove un ruolo con controllo di accesso basato sui ruoli (RBAC) esistente. I ruoli RBAC vengono utilizzati per specificare le attività di gestione consentite agli utenti e per determinare l'ambito in cui agli utenti è consentito eseguire tali attività.
Sintassi
Remove-CsAdminRole -Identity <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Remove-CsAdminRole -Sid <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Remove-CsAdminRole [-Confirm [<SwitchParameter>]] [-Filter <String>] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Descrizione dettagliata
RBAC consente agli amministratori di delegare il controllo di specifiche attività di gestione in Microsoft Lync Server 2010. Ad esempio, invece di concedere i privilegi completi di amministratore al personale dell'assistenza tecnica dell'organizzazione, è possibile fornire a questi dipendenti diritti molto specifici: il diritto di gestire solo i componenti di VoIP aziendale e il diritto di gestire esclusivamente l'archiviazione e Server di archiviazione. Inoltre, tali diritti possono essere limitati nell'ambito: ad alcuni dipendenti può essere concesso il diritto di gestire VoIP aziendale, ma solo nel sito di Redmond, mentre ad altri può essere concesso il diritto di gestire gli utenti, ma solo se tali account utente sono nell'unità organizzativa Finance.
L'implementazione di RBAC in Lync Server 2010 si basa su due elementi chiave: i gruppi di protezione di Active Directory e i cmdlet di Windows PowerShell. Quando si installa Lync Server 2010, viene creato automaticamente un certo numero di gruppi di protezione universali, quali CsAdministrator, CsArchivingAdministrator e CsBranchOfficeTechnician. Questi gruppi di protezione universali presentano una corrispondenza uno-a-uno con i ruoli RBAC, pertanto ogni utente presente nel gruppo di protezione CsArchivingAdministrator possiede tutti i diritti concessi al ruolo RBAC di CsArchivingAdministrator. A loro volta, i diritti concessi ad un ruolo RBAC si basano sui cmdlet assegnati a tale ruolo (i cmdlet possono essere assegnati a ruoli RBAC multipli). Si supponga, ad esempio, che un ruolo sia stato assegnato ai seguenti cmdlet:
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
Nell'elenco precedente sono riportati i soli cmdlet che possono essere eseguiti da un utente con un ipotetico ruolo RBAC assegnato in una sessione remota di Windows PowerShell. Se l'utente tenta di eseguire il cmdlet Disable-CsUser, il comando avrà esito negativo. Ciò accade perché gli utenti a cui è stato assegnato il ruolo ipotetico non dispongono del diritto di eseguire Disable-CsUser. Questa regola si applica anche al Pannello di controllo di Lync Server. Ad esempio, un amministratore dell'archiviazione non può disabilitare un utente utilizzando il Pannello di controllo di Lync Server, in quanto il Pannello di controllo di Lync Server si attiene ai ruoli RBAC. Ogni volta che si esegue un comando nel Pannello di controllo di Lync Server si effettua effettivamente una chiamata del cmdlet di Windows PowerShell. Se non si è autorizzati a eseguire Disable-CsUser, non avrà alcuna importanza se il cmdlet viene eseguito direttamente da Windows PowerShell o indirettamente dal Pannello di controllo di Lync Server: il comando avrà comunque esito negativo.
RBAC si applica solo alla gestione remota. Se si è effettuato l'accesso ad un computer che esegue Lync Server 2010 e si apre Lync Server Management Shell, i ruoli RBAC non verranno applicati. La protezione viene invece garantita principalmente tramite i gruppi di protezione RTCUniversalServerAdmins, RTCUniversalUserAdmins e RTCUniversalReadOnlyAdmins.
Quando si installa Lync Server 2010, il programma di installazione crea vari ruoli RBAC predefiniti che coprono le aree di amministrazione comuni quali l'amministrazione vocale, la gestione degli utenti e l'amministrazione di Response Group. Questi ruoli predefiniti non possono essere in alcun modo modificati: non è possibile aggiungere o rimuovere i cmdlet assegnati ai ruoli e non è possibile eliminare tali ruoli. Qualsiasi tentativo di eliminare un ruolo predefinito genererà un messaggio di errore. Tuttavia, è possibile utilizzare i ruoli predefiniti per creare ruoli RBAC personalizzati. I ruoli personalizzati possono quindi essere modificati variando gli ambiti amministrativi. Ad esempio, è possibile limitare il ruolo per gestire gli account utente con una particolare unità organizzativa di Active Directory.
I ruoli personalizzati creati possono essere eliminati utilizzando il cmdlet Remove-CsAdminRole. Remove-CsAdminRole non eliminerà il gruppo di protezione di Active Directory che corrisponde al ruolo personalizzato né consentirà la rimozione dei membri assegnati a tale gruppo. Il cmdlet assicurerà invece semplicemente che tale ruolo personalizzato non possa essere utilizzato per delegare il controllo di Lync Server 2010.
Quando si elimina un ruolo RBAC, Windows PowerShell chiederà se si è sicuri di voler eliminare tale ruolo. Se non si risponde a questo prompt (o non si risponde con Sì), il ruolo non verrà eliminato. Per evitare queste richieste di conferma, utilizzare il parametro Confirm e impostare il valore del parametro su $False:
Remove-CsAdminRole RedmondAdministrators –Confirm:$False
Utenti che possono eseguire questo cmdlet: per impostazione predefinita, i membri dei gruppi seguenti sono autorizzati a eseguire il cmdlet Remove-CsAdminRole in locale: RTCUniversalServerAdmins. Per restituire un elenco di tutti i ruoli RBAC ai quali è stato assegnato questo cmdlet (inclusi eventuali ruoli RBAC personalizzati creati dall'utente), eseguire il comando seguente dal prompt di Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsAdminRole"}
Parametri
| Parametro | Obbligatorio | Tipo | Descrizione |
|---|---|---|---|
Identity |
Facoltativo |
Stringa |
L'identificatore univoco per il ruolo RBAC da eliminare. L'identità per un ruolo RBAC deve corrispondere a quella di SamAccountName per il gruppo di protezione universale di Active Directory associato a tale ruolo. Ad esempio, il ruolo Help Desk ha il parametro Identity uguale a CsHelpDesk e CsHelpDesk è anche il valore SamAccountName del gruppo di protezione di Active Directory associato a tale ruolo. |
Filter |
Facoltativo |
Stringa |
Consente di utilizzare i caratteri jolly per specificare i ruoli RBAC personalizzati da rimuovere. Ad esempio, per rimuovere tutti i ruoli personalizzati che includono il valore stringa "Redmond" nel loro parametro Identity, è possibile utilizzare la seguente sintassi: -Filter "*Redmond*". |
Sid |
Facoltativo |
ID di sicurezza |
Consente di utilizzare un identificatore di protezione (SID) per specificare il ruolo RBAC da eliminare. I SID, assegnati da Lync Server 2010 al momento della creazione del ruolo RBAC, sono simili a quello riportato di seguito: S-1-5-21-1573807623-1597889489-1765977225-1145. Il SID per un dato ruolo RBAC può essere recuperato utilizzando il cmdlet Get-CsAdminRole. |
Force |
Facoltativo |
Parametro opzionale |
Consente di evitare la visualizzazione di qualunque messaggio di errore non grave che potrebbe essere generato nel corso dell'esecuzione del comando. |
WhatIf |
Facoltativo |
Parametro opzionale |
Descrive ciò che accadrebbe se si eseguisse il comando senza eseguirlo realmente. |
Confirm |
Facoltativo |
Parametro opzionale |
Consente di ignorare la richiesta di conferma che viene visualizzata quando si tenta di eliminare un ruolo RBAC. Per ignorare la richiesta di conferma, utilizzare il parametro Confirm e impostare il valore del parametro su $False: Remove-CsAdminRole RedmondAdministrators –Confirm:$False |
Tipi di input
Oggetto Microsoft.Rtc.Management.ADConnect.Schema.ADUser. Remove-CsAdminRole accetta input inviato tramite pipeline di oggetti utente.
Tipi restituiti
Remove-CsAdminRole elimina le istanze esistenti dell'oggetto Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role.
Esempio
-------------------------- Esempio 1 ------------------------
Remove-CsAdminRole -Identity "RedmondHelpDesk"
Il comando indicato nell'esempio 1 consente di eliminare il ruolo RBAC con il parametro Identity RedmondHelpDesk.
-------------------------- Esempio 2 ------------------------
Remove-CsAdminRole -Filter "*Redmond*"
Il comando precedente consente di eliminare tutti i ruoli RBAC con valore stringa "Redmond" all'interno del loro parametro Identity.
-------------------------- Esempio 3 ------------------------
Get-CsAdminRole | Where-Object {$_.IsStandardRole -eq $False} | Remove-CsAdminRole
Nell'esempio 3 il comando consente di eliminare tutti i ruoli RBAC personalizzati che sono stati creati per essere utilizzati all'interno dell'organizzazione. A tale scopo, il comando effettua per prima cosa la chiamata di Get-CsAdminRole senza alcun parametro. In questo modo viene restituita la raccolta dei ruoli RBAC. La raccolta viene quindi inviata tramite pipe al cmdlet Where-Object, che seleziona solo quei ruoli in cui la proprietà IsStandardRole è uguale a False. Per definizione, qualsiasi ruolo che soddisfa tale criterio è un ruolo personalizzato. A loro volta, i ruoli personalizzati vengono inviati tramite pipe al cmdlet Remove-CsAdminRole che ne esegue l'eliminazione.