Condividi tramite

  • Articolo

Grant-CsExternalAccessPolicy

 

Ultima modifica dell'argomento: 2012-03-23

Assegna un criterio di accesso esterno a un utente o a un gruppo di utenti. I criteri di accesso esterno determinano se agli utenti sono consentite o meno le seguenti operazioni: 1) comunicare con utenti che dispongono di account SIP (Session Initiation Protocol) con un'organizzazione federata; 2) comunicare con utenti che dispongono di account SIP con un provider di servizi di messaggistica istantanea pubblico come MSN e 3) accedere a Microsoft Lync Server 2010 tramite Internet, senza dover effettuare l'accesso alla rete interna.

Sintassi

Grant-CsExternalAccessPolicy -Identity <UserIdParameter> [-PolicyName <String>] [-Confirm [<SwitchParameter>]] [-DomainController <Fqdn>] [-PassThru <SwitchParameter>] [-WhatIf [<SwitchParameter>]]

Descrizione dettagliata

Quando si installa Lync Server 2010, agli utenti è consentito unicamente lo scambio reciproco di messaggi istantanei e di informazioni sulla presenza: per impostazione predefinita, è possibile comunicare solo con altri utenti che dispongono di account SIP in Servizi di dominio Active Directory. Agli utenti non è inoltre consentito accedere a Lync Server tramite Internet, ma è necessario effettuare l'accesso alla rete interna per poter quindi accedere a Lync Server.

Tutto ciò potrebbe soddisfare le esigenze di comunicazione. In caso contrario, è possibile utilizzare i criteri di accesso esterno per estendere la possibilità degli utenti di comunicare e collaborare. Con i criteri di accesso esterno è possibile concedere (o revocare) agli utenti la possibilità di eseguire una o tutte le operazioni seguenti:

1. Comunicare con persone che dispongono di account SIP con un'organizzazione federata. La sola abilitazione della federazione non offrirà automaticamente agli utenti questa funzionalità. È invece necessario abilitare la federazione, quindi assegnare agli utenti il criterio di accesso esterno che concede il diritto di comunicare con utenti federati.

2. Comunicare con persone che dispongono di account SIP con un servizio di messaggistica istantanea pubblico come MSN.

3. Accedere a Lync Server tramite Internet, senza dover prima effettuare l'accesso alla rete interna. Ciò consente agli utenti di utilizzare Microsoft Lync 2010 e di accedere a Lync Server da un Internet café o da un'altra postazione remota.

Quando si installa Lync Server, viene creato automaticamente un criterio di accesso esterno globale. Oltre a questo criterio globale, è possibile utilizzare New-CsExternalAccessPolicy per creare criteri di accesso esterno aggiuntivi configurati nell'ambito del sito o per utente.

Quando un criterio viene creato nell'ambito del sito, tale criterio viene automaticamente assegnato al sito in questione; ad esempio, un criterio di accesso esterno con identità site:Redmond viene automaticamente assegnato al sito Redmond. Al contrario, i criteri creati nell'ambito per utente non vengono assegnati automaticamente agli utenti. Questi criteri devono essere assegnati esplicitamente a un utente o a un gruppo di utenti. L'assegnazione di criteri per utente è il compito del cmdlet Grant-CsExternalAccessPolicy.

I criteri per utente hanno sempre la precedenza sui criteri del sito e sul criterio globale. Ad esempio, si supponga di aver creato un criterio per utente che consente la comunicazione con gli utenti federati e di assegnare tale criterio a Davide Garghentini. Finché il criterio rimane valido, Ken potrà comunicare con gli utenti federati, anche se questo tipo di comunicazione non è consentito dal criterio del sito di Ken o dal criterio globale, perché le impostazioni nel criterio per utente hanno la precedenza.

Utenti che possono eseguire questo cmdlet: per impostazione predefinita, i membri dei gruppi riportati di seguito sono autorizzati ad eseguire il cmdlet Grant-CsExternalAccessPolicy in locale: RTCUniversalUserAdmins. Per restituire un elenco di tutti i ruoli RBAC (Role-Based Access Control, controllo dell'accesso basato sui ruoli) a cui è stato assegnato questo cmdlet (compresi eventuali ruoli RBAC personalizzati creati autonomamente), eseguire il cmdlet riportato di seguito dal prompt di Windows PowerShell:

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Grant-CsExternalAccessPolicy"}

Parametri

Parametro Obbligatorio Tipo Descrizione

Identity

Obbligatorio

Identità XDS

Identità dell'account utente a cui assegnare il criterio. Le identità utente possono essere specificate con uno dei quattro formati riportati di seguito: 1) l'indirizzo SIP dell'utente; 2) l'UPN (Universal Principal Name) dell'utente; 3) il nome di dominio e il nome di accesso dell'utente, nel formato dominio\accesso (ad esempio, litwareinc\davidegarghentini); 4) il nome visualizzato Active Directory dell'utente (ad esempio, Davide Garghentini). Le identità utente possono essere referenziate anche utilizzando il nome distinto dell'utente in Active Directory.

Inoltre, è possibile utilizzare l'asterisco (*) per specificare l'identità dell'utente. Ad esempio, l'identità "* Smith" restituisce tutti gli utenti con un nome visualizzato che termina con il valore stringa " Smith".

PolicyName

Obbligatorio

Stringa

Il "Nome" del criterio da assegnare. PolicyName corrisponde all'identità del criterio meno l'ambito del criterio (il prefisso "tag:" ). Ad esempio, un criterio con Identity tag:Redmond dispone di un PolicyName uguale a Redmond; un criterio con Identity tag:RedmondAccessPolicy dispone di un PolicyName uguale a RedmondAccessPolicy.

Per annullare l'assegnazione di un criterio per utente precedentemente assegnato a un utente, impostare il parametro PolicyName su $Null.

DomainController

Facoltativo

Stringa

Consente di specificare il nome di dominio completo di un controller di dominio da contattare durante l'assegnazione del nuovo criterio. Se questo parametro non viene specificato, Grant-CsExternalAccessPolicy contatterà il primo controller di dominio disponibile.

PassThru

Facoltativo

Parametro opzionale

Consente di passare un oggetto utente attraverso la pipeline che rappresenta l'utente a cui viene assegnato il criterio. Per impostazione predefinita, il cmdlet Grant-CsExternalAccessPolicy non passa alcun oggetto attraverso la pipeline.

WhatIf

Facoltativo

Parametro opzionale

Descrive ciò che accadrebbe se si eseguisse il comando senza eseguirlo realmente.

Confirm

Facoltativo

Parametro opzionale

Viene visualizzata una richiesta di conferma prima di eseguire il comando.

Tipi di input

Valore stringa oppure oggetto Microsoft.Rtc.Management.ADConnect.Schema.ADUser. Grant-CsExternalAccessPolicy accetta l'input da pipeline di valori stringa che rappresentano l'identità di un account utente. Il cmdlet accetta inoltre l'input da pipeline di oggetti utente.

Tipi restituiti

Per impostazione predefinita, Grant-CsExternalAccessPolicy non restituisce un valore o un oggetto. Tuttavia, se si include il parametro PassThru, il cmdlet restituisce istanze dell'oggetto Microsoft.Rtc.Management.ADConnect.Schema.OCSUserOrAppContact.

Esempio

-------------------------- Esempio 1 ------------------------

Grant-CsExternalAccessPolicy -Identity "Ken Myer" -PolicyName RedmondAccessPolicy

Con il comando precedente viene assegnato il criterio di accesso esterno RedmondAccessPolicy all'utente con il nome visualizzato di Active Directory Davide Garghentini.

-------------------------- Esempio 2 ------------------------

Get-CsUser -LDAPFilter "l=Redmond" | Grant-CsExternalAccessPolicy -PolicyName RedmondAccessPolicy

Con il comando mostrato nell'esempio 2 viene assegnato il criterio di accesso esterno RedmondAccessPolicy a tutti gli utenti che lavorano nella città di Redmond. Per eseguire questa operazione, il comando utilizza per prima cosa Get-CsUser e il parametro LDAPFilter per restituire una raccolta degli utenti che lavorano a Redmond; il valore del filtro "l=Redmond" limita i dati restituiti agli utenti che lavorano nella città di Redmond (la l nel filtro, vale a dire una elle minuscola, rappresenta la località). La raccolta viene quindi inviata tramite pipe a Grant-CsExternalAccessPolicy, che assegna il criterio RedmondAccessPolicy ad ogni utente nella raccolta.

-------------------------- Esempio 3 ------------------------

Get-CsUser -LDAPFilter "Title=Sales Representative" | Grant-CsExternalAccessPolicy -PolicyName SalesAccessPolicy

Con l'esempio 3 a tutti gli utenti con la posizione professionale "Sales Representative" viene assegnato il criterio di accesso esterno SalesAccessPolicy. Per eseguire questa operazione, il comando utilizza per prima cosa Get-CsUser e il parametro LDAPFilter per restituire una raccolta di tutti gli utenti Sales Representative; il valore del filtro "Title=Sales Representative" limita la raccolta restituita agli utenti con la posizione professionale "Sales Representative". La raccolta filtrata viene quindi inviata tramite pipe a Grant-CsExternalAccessPolicy, che assegna il criterio SalesAccessPolicy ad ogni utente nella raccolta.

-------------------------- Esempio 4 ------------------------

Get-CsUser -Filter {ExternalAccessPolicy -eq $Null} | Grant-CsExternalAccessPolicy -PolicyName BasicAccessPolicy

Con il comando mostrato nell'esempio 4 viene assegnato il criterio di accesso esterno BasicAccessPolicy a tutti gli utenti a cui non è stato assegnato esplicitamente un criterio per utente (vale a dire agli utenti attualmente governati da un criterio di sito o dal criterio globale). Per eseguire questa operazione vengono utilizzati Get-CsUser e il parametro Filter per restituire il set di utenti appropriato; il valore del filtro {ExternalAccessPolicy -eq $Null} limita i dati restituiti agli account utente la cui proprietà ExternalAccessPolicy equivale (-eq) a un valore null ($Null). Per definizione, ExternalAccessPolicy sarà null solo se agli utenti non è stato assegnato un criterio per utente.

La raccolta filtrata viene quindi inviata tramite pipe a Grant-CsExternalAccessPolicy, che assegna il criterio BasicAccessPolicy ad ogni utente nella raccolta.

-------------------------- Esempio 5 --------------------------

Get-CsUser -OU "ou=US,dc=litwareinc,dc=com" | Grant-CsExternalAccessPolicy -PolicyName USAccessPolicy

Con il comando precedente viene assegnato il criterio di accesso esterno USAccessPolicy a tutti gli utenti che dispongono di account nell'unità organizzativa US. Il comando chiama inizialmente Get-CsUser con il parametro OU; il valore del parametro "ou=US,dc=litwareinc,dc=com" limita i dati restituiti agli account utente presenti nell'unità organizzativa US. La raccolta restituita viene quindi inviata tramite pipe a Grant-CsExternalAccessPolicy, che assegna il criterio USAccessPolicy ad ogni utente nella raccolta.

-------------------------- Esempio 6 --------------------------

Get-CsUser | Grant-CsExternalAccessPolicy -PolicyName $Null

Con l'esempio 6 viene annullata l'assegnazione dei criteri di accesso esterno per utente precedentemente assegnati a qualsiasi utente abilitato per Lync Server. Per ottenere tale risultato, il comando chiama Get-CsUser (senza parametri aggiuntivi) per restituire una raccolta di tutti gli utenti abilitati per Lync Server. La raccolta viene inviata tramite pipe a Grant-CsExternalAccessPolicy, che utilizza la sintassi "-PolicyName $Null" per rimuovere eventuali criteri di accesso esterno per utente precedentemente assegnati a questi utenti.