次の方法で共有

  • [アーティクル]

Remove-CsAdminRole

 

トピックの最終更新日: 2012-03-26

既存の役割ベースのアクセス制御 (RBAC) の役割を削除します。RBAC の役割を使用すると、ユーザーが実行できる管理タスクを指定したり、そのタスクを実行できるスコープを決定することができます。

構文

Remove-CsAdminRole -Identity <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]

Remove-CsAdminRole -Sid <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]

Remove-CsAdminRole [-Confirm [<SwitchParameter>]] [-Filter <String>] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]

解説

RBAC を使用すると、管理者は Microsoft Lync Server 2010 で特定の管理タスクの制御を委任できます。たとえば、組織のヘルプ デスクに完全な管理者特権を付与する代わりに、これらの従業員に次のような非常に限定された権限を付与できます。ユーザー アカウントのみを管理する権限、エンタープライズ VoIP コンポーネントのみを管理する権限、アーカイブと アーカイブ サーバー のみを管理する権限。また、これらの権限の範囲を次のように制限できます。Redmond サイトのみでエンタープライズ VoIP を管理する権限を付与したり、財務組織単位 (OU) にユーザー アカウントがあるユーザーのみを管理する権限を付与したりできます。

RBAC の Lync Server 2010 実装は、次の 2 つの主要要素に基づいています。Active Directory セキュリティ グループと Windows PowerShell コマンドレットです。Lync Server 2010 をインストールすると、CsAdministrator、CsArchivingAdministrator、CsBranchOfficeTechnician などの多数のユニバーサル セキュリティ グループが作成されます。これらのユニバーサル セキュリティ グループには RBAC の役割が 1 対 1 対応で設定されています。つまり、CsArchivingAdministrator セキュリティ グループ内のすべてのユーザーは、CsArchivingAdministrator の RBAC の役割に対するすべての権限が付与されます。同様に、RBAC の役割に付与されている権限は、その役割に割り当てられているコマンドレットに基づきます (コマンドレットは複数の RBAC の役割に割り当てることができます)。たとえば、ある役割が次のコマンドレットに割り当てられているとします。

Get-ArchivingPolicy

Grant-ArchivingPolicy

New-ArchivingPolicy

Remove-ArchivingPolicy

Set-ArchivingPolicy

Get-ArchivingConfiguration

New-ArchivingConfiguration

Remove-ArchivingConfiguration

Set-ArchivingConfiguration

Get-CsUser

Export-CsArchivingData

Get-CsComputer

Get-CsPool

Get-CsService

Get-CsSite

上記のリストは、仮定の RBAC の役割に割り当てられたユーザーが Windows PowerShell のリモート セッションで実行できるコマンドレットのみを表します。ユーザーが Disable-CsUser コマンドレットを実行しようとすると、そのコマンドは失敗します。仮の役割が割り当てられたユーザーが Disable-CsUser を実行する権限を持っていないためです。このことは、Lync Server コントロール パネル にも同様に当てはまります。たとえば、Lync Server コントロール パネル は RBAC の役割に従うため、アーカイブ管理者は Lync Server コントロール パネル を使用してユーザーを無効にできません (Lync Server コントロール パネル でコマンドを実行するたびに、実際には Windows PowerShell コマンドレットを呼び出しています)。Disable-CsUser の実行が許可されていない場合、Windows PowerShell からこのコマンドレットを直接実行するか、Lync Server コントロール パネル からコマンドレットを間接的に実行するかは関係なく、いずれにしてもこのコマンドは失敗します)。

RBAC はリモート管理にのみ適用されます。Lync Server 2010 を実行しているコンピューターにログオンして Lync Server 管理シェル を開いた場合、RBAC の役割は適用されません。代わりに、主に RTCUniversalServerAdmins、RTCUniversalUserAdmins、および RTCUniversalReadOnlyAdmins の各セキュリティ グループを通じてセキュリティが適用されます。

Lync Server 2010 をインストールすると、セットアップによって、RBAC の組み込みの役割が複数作成されます。この役割には、音声管理、ユーザー管理、応答グループ管理などの一般的な管理領域が含まれます。これらの組み込みの役割は、どのような方法を使用しても変更できません。これらの役割にコマンドレットを追加したり削除することも、役割を削除することもできません (組み込みの役割を削除しようとすると、エラー メッセージが表示されます)。ただし、組み込みの役割を使用してカスタムの RBAC の役割を作成することはできます。これらのカスタムの役割は、管理スコープを変更することによって変更できます。たとえば、特定の Active Directory OU でユーザー アカウントを管理する役割を制限することができます。

作成したすべてのカスタムの役割は、Remove-CsAdminRole コマンドレットを使用して削除できます。Remove-CsAdminRole では、カスタムの役割に対応する Active Directory セキュリティ グループ、およびそのグループに割り当てられているメンバーは削除されません。代わりに、コマンドレットを使用すると単純に、カスタムの役割を使用して Lync Server 2010 の制御を委任することは不可能になります。

RBAC の役割を削除する場合、Windows PowerShell から、この役割を削除するかどうかを確認するメッセージが表示されます。このプロンプトに応答しない (つまり [はい] を選択しない) 場合、この役割は削除されません。この確認プロンプトを表示しないようにするには、次のように Confirm パラメーターを使用し、パラメーター値を $False に設定します。

Remove-CsAdminRole RedmondAdministrators –Confirm:$False

このコマンドレットを実行できるユーザー: 既定では、次のグループのメンバーが、Remove-CsAdminRole コマンドレットのローカル実行を承認されています。RTCUniversalServerAdmins。このコマンドレットの割り当て先になっている、RBAC のすべての役割 (自分で作成したあらゆるカスタム RBAC 役割を含む) から成る一覧を戻すには、Windows PowerShell プロンプトから次のコマンドを実行します。

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsAdminRole"}

パラメーター

パラメーター 必須かどうか 説明

Identity

省略可能

文字列

削除する RBC の役割の一意識別子。RBAC の役割の ID は、その役割に関連付けられている Active Directory ユニバーサル セキュリティ グループの SamAccountName と同じである必要があります。たとえば、ヘルプ デスクの役割の Identity は CsHelpDesk と同じです。CsHelpDesk は、その役割に関連付けられている Active Directory セキュリティ グループの SamAccountName でもあります。

Filter

省略可能

文字列

削除する RBAC のカスタムの役割を指定するために、ワイルドカードを使用できます。たとえば、Identity に文字列値 "Redmond" が含まれるすべてのカスタムの役割を削除するには、次の構文を使用できます。-Filter "*Redmond*"。

Sid

省略可能

セキュリティ識別子

セキュリティ識別子 (SID) を使用して、削除する RBAC の役割を指定できます。SID は、RBAC の役割を作成するときに Lync Server 2010 によって割り当てられ、次のように表示されます。S-1-5-21-1573807623-1597889489-1765977225-1145。指定した RBAC の役割の SID は、Get-CsAdminRole コマンドレットを使用して取得できます。

Force

省略可能

スイッチ パラメーター

コマンド実行中に発生する可能性のある、致命的ではないすべてのエラー メッセージを表示しないようにします。

WhatIf

省略可能

スイッチ パラメーター

実際にコマンドを実行せずに、コマンドの実行結果がわかります。

Confirm

省略可能

スイッチ パラメーター

RBAC の役割を削除しようとするときに表示される確認プロンプトを表示しません。プロンプトを表示しないようにするには、次のように Confirm パラメーターを使用し、パラメーター値を $False に設定します。

Remove-CsAdminRole RedmondAdministrators –Confirm:$False

入力の種類

Microsoft.Rtc.Management.ADConnect.Schema.ADUser オブジェクト。Remove-CsAdminRole は、ユーザー オブジェクトのパイプライン入力を受け入れます。

戻り値の種類

Remove-CsAdminRole は、Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role オブジェクトの既存のインスタンスを削除します。

-------------------------- 例 1 ------------------------

Remove-CsAdminRole -Identity "RedmondHelpDesk"

例 1 に示すコマンドは、RedmondHelpDesk という ID を持つ RBAC の役割を削除します。

-------------------------- 例 2 ------------------------

Remove-CsAdminRole -Filter "*Redmond*"

上記のコマンドは、Identity のどこかに文字列値 "Redmond" を含む RBAC のすべての役割を削除します。

-------------------------- 例 3 ------------------------

Get-CsAdminRole | Where-Object {$_.IsStandardRole -eq $False} | Remove-CsAdminRole

例 3 のコマンドは、組織で使用するために作成された RBAC のカスタムの役割をすべて削除します。この処理を実行するため、このコマンドはまず、Get-CsAdminRole をパラメーターなしで呼び出し、RBAC の役割のコレクションを戻します。次に、このコレクションを Where-Object コマンドレットにパイプ処理し、IsStandardRole プロパティが False に等しい役割のみを選択しています。定義上、この条件に一致する役割はすべてカスタムの役割です。これらのカスタムの役割は Remove-CsAdminRole コマンドレットにパイプ処理され、削除されます。