Grant-CsOUPermission
トピックの最終更新日: 2012-03-23
Active Directory 組織単位 (OU) に対する Microsoft Lync Server 2010 管理権限を付与します。
構文
Grant-CsOUPermission -ObjectType <User | Computer | InetOrgPerson | Contact | AppContact | Device> -OU <String> [-Confirm [<SwitchParameter>]] [-Domain <Fqdn>] [-DomainController <Fqdn>] [-Force <SwitchParameter>] [-GlobalCatalog <Fqdn>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
解説
Active Directory ドメインをロックダウンした場合 (つまり、アクセス許可の継承を無効にした場合)、Lync Server 2010 をインストールするときに実施されるドメインの準備では、ユーザー、コンピューター、連絡先、アプリケーションの連絡先、および InetOrgPerson を管理するために必要とされる権限を追加できません (ドメイン管理者は引き続きこれらのオブジェクトを管理できますが、RTCUniversalUserAdmins グループのメンバーを含め、他のメンバーは管理権限)。その場合、Grant-CsOUPermission コマンドレットを使用して、必要なセキュリティ グループに必要となる権限を付与する必要があります。この操作は、コンテナー単位で実行する必要があります。
このコマンドレットが、あらかじめ定義されたセキュリティ グループのセットのみに権限を付与することに注意してください。このコマンドレットを使用して、任意のセキュリティ グループや個々のユーザーに権限を付与することはできません。
Grant-CsOUPermission を使用して付与された権限は、後で Revoke-CsOUPermission を使用して削除できます。このコマンドレットを実行すると、最初に OU の権限が付与されたグループは、指定された Active Directory コンテナーの該当する Lync Server 管理権限を失います。この場合、Lync Server またはそのコンポーネントのいずれかを管理するためには、エンタープライズ管理者またはドメイン管理者である必要があります。
このコマンドレットを実行できるメンバー。Grant-CsOUPermission コマンドレットをローカルで実行するためには、ドメイン管理者である必要があります。このコマンドレットが割り当てられているすべての役割ベースのアクセス制御 (RBAC) の役割の一覧 (自身が作成したカスタムの RBAC の役割を含む) を戻すには、Windows PowerShell プロンプトから次のコマンドを実行します。
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Grant-CsOUPermission"}
パラメーター
パラメーター | 必須 | 型 | 説明 |
---|---|---|---|
ObjectType |
必須 |
文字列 |
これらの権限の対象となるオブジェクトのタイプ。有効な値は次のとおりです。 User Computer Contact AppContact InetOrgPerson 同じコマンドで複数のオブジェクト タイプを割り当てるには、次のようにコンマを使用して個々のオブジェクト タイプを区切ります。-ObjectType "user","computer","contact"。 |
OU |
必須 |
Active Directory の識別名 |
権限が付与される OU の識別名 (-OU "ou=Redmond,dc=litwareinc,dc=com" など)。付与できる権限の数は、コマンドあたり 1 つだけです。 |
Domain |
省略可能 |
文字列 |
OU が属するドメインの名前。このパラメーターを指定しない場合、Grant-CsOUPermission は現在のドメインで OU を検索します。 |
DomainController |
省略可能 |
文字列 |
Grant-CsOUPermission を実行する際に使用するドメイン コントローラーの完全修飾ドメイン名 (FQDN) を管理者が指定できるようにします。指定しない場合は、コマンドレットでは、最初に使用可能なドメイン コントローラーが使用されます。 |
GlobalCatalog |
省略可能 |
文字列 |
ドメイン内のグローバル カタログ サーバーの FQDN。使用中のドメインの中にアカウントが存在しているコンピューター上で Grant-CsOUPermission を実行する場合、このパラメーターは必須ではありません。 |
Force |
省略可能 |
スイッチ パラメーター |
コマンド実行中に発生する可能性のある、致命的ではないすべてのエラー メッセージを表示しないようにします。 |
Report |
省略可能 |
文字列 |
コマンドレット実行時に作成されるログ ファイルのファイル パスを指定できるようにします。次に例を示します。-Report "C:\Logs\OUPermissions.html" |
WhatIf |
省略可能 |
スイッチ パラメーター |
実際にコマンドを実行せずに、コマンドの実行結果がわかります。 |
Confirm |
省略可能 |
スイッチ パラメーター |
コマンドの実行前に確認メッセージを表示します。 |
入力の種類
なし。Grant-CsOUPermission は、パイプ処理された入力を受け入れません。
戻り値の種類
Grant-CsOUPermission を実行しても、オブジェクトや値が戻されることはありません。
例
-------------------------- 例 1 ------------------------
Grant-CsOUPermission -OU "ou=Redmond,dc=litwareinc,dc=com" -ObjectType "user"
例 1 に示すコマンドを実行すると、litwareinc.com ドメインの Redmond OU にユーザー管理権限 (-ObjectType "user") が付与されます。
-------------------------- 例 2 ------------------------
Grant-CsOUPermission -OU "ou=Redmond,dc=litwareinc,dc=com" -ObjectType "user","contact","inetOrgPerson"
例 2 では、litwareinc.com ドメインの Redmond OU の 3 種類のオブジェクト (user、contact、inetOrgPerson) に管理権限が付与されます。
-------------------------- 例 3 ------------------------
$x = "ou=Redmond,dc=litwareinc,dc=com", "ou=Dublin,dc=litwareinc,dc=com", "ou=Tokyo,dc=litwareinc,dc=com"
foreach ($i in $x) {Grant-CsOUPermission -OU $i -ObjectType "user"}
上の例では、Redmond、Dublin、および Tokyo の 3 つの OU に対するユーザー管理権限が同時に付与されます。このタスクを実行するため、例の最初のコマンドによって $x という名前の配列変数を作成します。この変数には、権限が付与される 3 つの Active Directory OU の識別名が格納されます。2 番目のコマンドでは、配列に格納されている各 OU を取得し、その組織単位に対して Grant-CsOUPermission コマンドレットを実行する、foreach ループを作成します。次に、そのコマンドは、配列の OU ごとに、ユーザー管理権限を付与します。