Set-CsAdminRole
トピックの最終更新日: 2012-03-26
既存の役割ベースのアクセス制御 (RBAC) の役割を変更します。RBAC の役割を使用すると、ユーザーが実行できる管理タスクを指定したり、そのタスクを実行できるスコープを決定することができます。
構文
Set-CsAdminRole -Identity <String> [-ConfigScopes <PSListModifier>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-UserScopes <PSListModifier>] [-WhatIf [<SwitchParameter>]]
解説
RBAC を使用すると、管理者は Microsoft Lync Server 2010 で特定の管理タスクの制御を委任できます。たとえば、組織のヘルプ デスクに完全な管理者特権を付与する代わりに、これらの従業員に次のような非常に限定された権限を付与できます。ユーザー アカウントのみを管理する権限、エンタープライズ VoIP コンポーネントのみを管理する権限、アーカイブと アーカイブ サーバー のみを管理する権限。また、これらの権限の範囲を次のように制限できます。Redmond サイトのみでエンタープライズ VoIP を管理する権限を付与したり、財務組織単位 (OU) にユーザー アカウントがあるユーザーのみを管理する権限を付与したりできます。
RBAC の Lync Server 2010 実装は、次の 2 つの主要要素に基づいています。Active Directory セキュリティ グループと Windows PowerShell コマンドレットです。Lync Server 2010 をインストールすると、CsAdministrator、CsArchivingAdministrator、CsBranchOfficeTechnician などの多数のユニバーサル セキュリティ グループが作成されます。これらのユニバーサル セキュリティ グループには RBAC の役割が 1 対 1 対応で設定されています。つまり、CsArchivingAdministrator セキュリティ グループ内のすべてのユーザーは、CsArchivingAdministrator の RBAC の役割に対するすべての権限が付与されます。一方、RBAC の役割に付与されている権限は、その役割に割り当てられているコマンドレットに基づいています (コマンドレットは複数の RBAC の役割に割り当てることができます)。たとえば、ある役割が次のコマンドレットに割り当てられているとします。
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
上記のリストは、仮定の RBAC の役割に割り当てられたユーザーが Windows PowerShell のリモート セッションで実行できるコマンドレットのみを表します。ユーザーが Disable-CsUser コマンドレットを実行しようとすると、そのコマンドは失敗します。仮の役割が割り当てられたユーザーが Disable-CsUser を実行する権限を持っていないためです。これは Lync Server コントロール パネル にも適用されます。たとえば、Lync Server コントロール パネル は RBAC の役割に従うため、アーカイブ管理者は Lync Server コントロール パネル を使用してユーザーを無効にすることができません (Lync Server コントロール パネル でコマンドを実行するたびに、実際には Windows PowerShell コマンドレットを呼び出しています)。Disable-CsUser の実行が許可されていない場合、Windows PowerShell からこのコマンドレットを直接実行するか、Lync Server コントロール パネル からコマンドレットを間接的に実行するかは関係なく、コマンドは失敗します。
RBAC が適用されるのはリモート管理に対してのみです。Lync Server 2010 を実行しているコンピューターにログオンして Lync Server 管理シェル を開いた場合、RBAC の役割は適用されません。代わりに、主に RTCUniversalServerAdmins、RTCUniversalUserAdmins、および RTCUniversalReadOnlyAdmins の各セキュリティ グループを通じてセキュリティが適用されます。
Lync Server 2010 をインストールすると、セットアップによって、RBAC の組み込みの役割が複数作成されます。この役割には、音声管理、ユーザー管理、応答グループ管理などの一般的な管理領域が含まれます。これらの組み込みの役割を変更することはできません。役割のコマンドレットを追加または削除したり、これらの役割を削除したりすることはできません (組み込みの役割を削除しようとすると、エラー メッセージが返されます)。ただし、組み込みの役割を使ってカスタムの RBAC の役割を作成できます。これらのカスタムの役割は、管理スコープを変更することによって変更できます。たとえば、特定の Active Directory OU でユーザー アカウントを管理する役割を制限することができます。
作成するカスタムの役割はテンプレートにする既存の RBAC の役割に基づく必要があります。たとえば、ダイヤルイン会議管理者の役割を作成するには、既存の RBAC の役割を効果的に複製する必要があります (たとえば、ダイヤルイン会議管理者の役割は、既存の音声管理者の役割を基にできます)。カスタムの役割を作成した後、Set-CsAdminRole を使用してその新しい役割のプロパティを変更できます。
このコマンドレットを実行できるユーザー: 既定では、次のグループのメンバーが、Set-CsAdminRole コマンドレットのローカル実行を承認されています。RTCUniversalServerAdmins。このコマンドレットの割り当て先になっている、RBAC のすべての役割 (自分で作成したあらゆるカスタム RBAC 役割を含む) から成る一覧を戻すには、Windows PowerShell プロンプトから次のコマンドを実行します。
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsAdminRole"}
パラメーター
パラメーター | 必須かどうか | 型 | 説明 |
---|---|---|---|
Identity |
必須 |
文字列 |
変更する RBAC の役割の一意の識別子です。RBAC の役割の ID は、その役割に関連付けられた Active Directory ユニバーサル セキュリティ グループの SamAccountName と同じである必要があります。たとえば、ヘルプ デスクの役割の Identity は CsHelpDesk と同じです。CsHelpDesk は、その役割に関連付けられている Active Directory セキュリティ グループの SamAccountName でもあります。 |
ConfigScopes |
省略可能 |
PS リスト修飾子 |
コマンドレットのスコープを指定したサイト内の構成設定に制限します。コマンドレットのスコープを 1 つのサイトに制限するには、次のような構文を使用します。-ConfigScopes site:Redmond です。次のように、コンマ区切りの一覧を使って複数のサイトを指定できます。-ConfigScopes "site:Redmond, "site:Dublin" です。ConfigScopes プロパティを "global" に設定することもできます。 ConfigScopes パラメーターに値を割り当てるときは、"site:" プレフィックスに、サイトの SiteId プロパティを続けたものを使用する必要があります。SiteId は必ずしも、サイトの Identity またはサイトの DisplayName と同じとは限りません。特定のサイトでの SiteId を確認するには、次のようなコマンドを使用します。 Get-CsSite "Redmond" | Select-Object SiteId ConfigScopes および UserScopes プロパティのいずれか (または両方) の値を指定する必要があります。 |
UserScopes |
省略可能 |
PS リスト修飾子 |
コマンドレットのスコープを、指定した OU 内のユーザー管理作業に制限します。コマンドレットのスコープを 1 つの OU に制限するには、次のような構文を使用します。-UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com" です。次のように、コンマ区切りの一覧を使って複数の OU を指定できます。-UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com", "OU:ou=Dublin,dc=litwareinc,dc=com" です。役割に新しいスコープを追加 (または既存のスコープを削除) するには、Windows PowerShell リスト修飾子構文を使用します。詳細については、このヘルプ トピックの「例」を参照してください。 ConfigScopes および UserScopes プロパティのいずれか (または両方) の値を指定する必要があります。 |
Force |
省略可能 |
スイッチ パラメーター |
コマンド実行中に発生する可能性のある、致命的ではないすべてのエラー メッセージを表示しないようにします。 |
WhatIf |
省略可能 |
スイッチ パラメーター |
実際にコマンドを実行せずに、コマンドの実行結果がわかります。 |
Confirm |
省略可能 |
スイッチ パラメーター |
コマンドの実行前に確認メッセージを表示します。 |
入力の種類
なし。
戻り値の種類
Set-CsAdminRole は、値またはオブジェクトを戻しません。代わりに、このコマンドレットは、Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role オブジェクトのインスタンスを構成します。
例
-------------------------- 例 1 ------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -UserScopes @{Add="OU:ou=Portland,dc=litwareinc,dc=com"}
上記のコマンドは、RBAC の役割 RedmondVoiceAdministrators の UserScopes プロパティに新しい OU (Portland) を追加します。これを行うため、UserScopes パラメーターとパラメーター値 @{Add="OU:ou=Portland,dc=litwareinc,dc=com"} を使用しています。この構文では、UserScopes プロパティの既存の OU に識別名 "ou=Portland,dc=litwareinc,dc=com" の OU を追加しています。
-------------------------- 例 2 ------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -UserScopes @{Remove="OU:ou=Portland,dc=litwareinc,dc=com"}
例 2 に示すコマンドは、RBAC の役割 RedmondVoiceAdministrators から Portland OU を削除します。これを行うため、UserScopes パラメーターとパラメーター値 @{Remove="OU:ou=Portland,dc=litwareinc,dc=com"} を使用しています。この構文では、UserScopes プロパティの既存の OU のコレクションから識別名 "ou=Portland,dc=litwareinc,dc=com" の OU を削除しています。
-------------------------- 例 3 ------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Add="site:Redmond"}
例 3 では、RBAC の役割 RedmondVoiceAdministrators の ConfigScopes プロパティに新しいサイト (SiteId が Redmond であるサイト) を追加します。これを行うため、ConfigScopes パラメーターとパラメーター値 @{Add="OU:ou=Portland,dc=litwareinc,dc=com"} を使用しています。この構文は、ConfigScopes プロパティの中に既に存在する項目に対して Redmond サイトを追加します。
-------------------------- 例 4 ------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Remove="siteRedmond"}
例 4 に示すコマンドは、RBAC の役割 RedmondVoiceAdministrators から Redmond サイトを削除します。これを行うため、ConfigScopes パラメーターとパラメーター値 @{Remove="site:Redmond"} を使用しています。このパラメーターは、ConfigScopes プロパティの中に既に存在する項目のコレクションから Redmond サイトを削除します。Redmond サイトに ConfigScopes プロパティ内の唯一のサイトである場合、このコマンドは失敗することに注意してください。ConfigScopes プロパティ内にある唯一のサイトを削除しようとする場合は、ConfigScopes 内にあるすべての項目を Global プロパティに置き換える次のようなコマンドを使用する必要があります。
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Replace="Global"}