Remove-CsAdminRole
Tópico modificado em: 2012-03-26
Remove uma função de controle de acesso baseado em função (RBAC). As funções do RBAC são utilizadas para especificar as tarefas de gerenciamento que os usuários poderão efetuar e para determinar o escopo em que os usuários poderão efetuar essas tarefas.
Sintaxe
Remove-CsAdminRole -Identity <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Remove-CsAdminRole -Sid <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Remove-CsAdminRole [-Confirm [<SwitchParameter>]] [-Filter <String>] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Descrição Detalhada
O RBAC permite aos administradores delegar o controle de tarefas de gerenciamento específicas no Microsoft Lync Server 2010. Por exemplo, em vez de conceder à assistência técnica da sua organização privilégios plenos de administrador, é possível fornecer direitos muito específicos a esses funcionários: o direito de gerenciar apenas contas de usuário, apenas componentes do Enterprise Voice e apenas o arquivamento e a Servidor de Arquivamento. Além disso, esses direitos podem ser limitados em escopo: alguém pode receber o direito de gerenciar o Enterprise Voice, mas apenas no site de Redmond, enquanto outra pessoa pode receber o direito de gerenciar usuários, mas apenas se essas contas de usuários estiverem na unidade organizacional (OU) Financeiro.
A implementação do Lync Server 2010 do RBAC é feita com base em dois elementos principais: Grupos de segurança do Active Directory e cmdlets do Windows PowerShell. Ao se instalar o Lync Server 2010, criam-se diversos grupos de segurança universal, como CsAdministrator, CsArchivingAdministrator e CsViewOnlyAdministrator, por exemplo. Esses grupos de segurança universal possuem uma correspondência de um para um com as funções do RBAC. Isso significa que todos os direitos de qualquer usuário que estiver no grupo de segurança CsArchivingAdministrator serão concedidos à função CsArchivingAdministrator do RBAC. Por sua vez, os direitos concedidos a uma função do RBAC têm como base os cmdlets atribuídos a essa função (os cmdlets podem ser atribuídos a diversas funções do RBAC). Por exemplo: suponhamos que uma função tenha recebido a atribuição dos seguintes cmdlets:
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
A lista acima representa os únicos cmdlets que um usuário que tiver recebido a atribuição de uma função do RBAC hipotética poderá executar em uma sessão remota do Windows PowerShell. Se o usuário tentar executar o cmdlet Disable-CsUser, esse comando falhará porque os usuários que tiverem recebido a função hipotética não têm o direito de executar Disable-CsUser. Isso também se aplica ao Painel de Controle do Lync Server. Por exemplo: um Administrador de arquivamento não pode desabilitar um usuário usando o Painel de Controle do Lync Server, porque o Painel de Controle do Lync Server cumpre as funções do RBAC. (sempre que se executar um comando no Painel de Controle do Lync Server, se estará chamando de fato um cmdlet do Windows PowerShell). Se você não tiver permissão para executar Disable-CsUser, não fará diferença se você executar esse cmdlet diretamente, no Windows PowerShell, ou indiretamente, dentro do Painel de Controle do Lync Server: o comando falhará).
Observe que o RBAC se aplica apenas ao gerenciamento remoto. Se você estiver registrado em um computador que estiver executando Lync Server 2010 e você abrir Shell de Gerenciamento do Lync Server, as funções do RBAC não serão impostas. Em vez disso, a segurança será imposta principalmente nos grupos de segurança RTCUniversalServerAdmins, RTCUniversalUserAdmins e RTCUniversalReadOnlyAdmins.
Ao se instalar o Lync Server 2010, a instalação cria diversas funções do RBAC incorporadas, que abrangem as áreas administrativas comuns, como a administração de voz, o gerenciamento de usuários e a administração do Grupo de respostas. Essas funções incorporadas não podem ser modificadas de maneira alguma: não é possível adicionar ou remover cmdlets de funções, nem é possível excluir essas funções (qualquer tentativa de excluir uma função incorporada resultará em uma mensagem de erro). No entanto, é possível usar as funções incorporadas para criar funções de RBAC personalizadas. Essas funções personalizadas podem ser modificadas alterando-se os escopos administrativos. Por exemplo: é possível limitar a função ao gerenciamento de contas de usuários em uma determinada OU do Active Directory.
Quaisquer funções personalizadas que forem criadas poderão ser excluídas, utilizando-se o cmdlet Remove-CsAdminRole. Observe que Remove-CsAdminRole não excluirá o grupo de segurança do Active Directory que corresponder à função personalizada, nem removerá qualquer membro que tiver sido atribuído ao grupo. Em vez disso, o cmdlet simplesmente garantirá que essa função personalizada não possa ser usada para delegar o controle do Lync Server 2010.
Ao se excluir uma função do RBAC, o Windows PowerShell responderá solicitando a sua confirmação de intenção de excluir essa função; se não se responder a essa notificação (ou não responder, dizendo Sim), a função não será excluída. Para evitar essas notificações de confirmação, use o parâmetro Confirm e defina o seu valor como $False:
Remove-CsAdminRole RedmondAdministrators –Confirm:$False
Quem pode executar esse cmdlet: Por padrão, membros dos seguintes grupos são autorizados a executar o cmdlet Remove-CsAdminRole localmente: RTCUniversalServerAdmins. Para retornar uma lista de todas as funções do RBAC que tiverem recebido a atribuição desse cmdlet (inclusive qualquer função do RBAC personalizada criada por você), execute o seguinte comando no prompt do Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsAdminRole"}
Parâmetros
| Parâmetro | Obrigatório | Digite | Descrição |
|---|---|---|---|
Identity |
Opcional |
Cadeia de caracteres |
Identificador exclusivo da função do RBAC a ser excluída. A Identidade de uma função do RBAC deve ser a mesma que o SamAccountName do grupo de segurança universal do Active Directory associado a essa função. Por exemplo, a função Assistência Técnica possui uma Identidade igual a CsHelpDesk; CsHelpDesk é também o SamAccountName do grupo de segurança do Active Directory associado a essa função. |
Filter |
Opcional |
Cadeia de caracteres |
Permite utilizar caracteres curinga para especificar a função personalizada do RBAC a ser removida. Por exemplo: para remover todas as funções personalizadas que incluírem o valor de cadeia de caracteres "Redmond" em sua Identidade, é possível usar essa sintaxe: -Filter "*Redmond*". |
Sid |
Opcional |
Identificador de Segurança |
Permite utilizar um Identificador de Segurança (SID) para especificar a função do RBAC a ser excluída. Os SIDs são atribuídos pelo Lync Server 2010 no momento em que a função do RBAC for criada e têm a seguinte aparência: S-1-5-21-1573807623-1597889489-1765977225-1145. O SID de uma determinada função do RBAC pode ser recuperado utilizando-se o cmdlet Get-CsAdminRole. |
Force |
Opcional |
Parâmetro de opção |
Suprime a exibição de qualquer mensagem de erro não-fatal que possa ocorrer durante a execução do comando. |
WhatIf |
Opcional |
Parâmetro de opção |
Descreve o que aconteceria se o comando fosse executado sem ser executado de fato. |
Confirm |
Opcional |
Parâmetro de opção |
Permite ignorar a notificação de confirmação que será exibida ao se tentar excluir uma função do RBAC. Para ignorar a notificação, inclua o parâmetro Confirm e defina o seu valor como $False: Remove-CsAdminRole RedmondAdministrators –Confirm:$False |
Tipos de Entrada
Objeto Microsoft.Rtc.Management.ADConnect.Schema.ADUser. Remove-CsAdminRole aceita a entrada canalizada dos objetos de usuário.
Tipos de Retorno
Remove-CsAdminRole exclui instâncias do objeto Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role.
Exemplo
-------------------------- Exemplo 1 ------------------------
Remove-CsAdminRole -Identity "RedmondHelpDesk"
O comando apresentado no Exemplo 1 exclui a função do RBAC cuja Identidade for RedmondHelpDesk.
-------------------------- Exemplo 2 ------------------------
Remove-CsAdminRole -Filter "*Redmond*"
O comando anterior exclui todas as funções do RBAC que possuírem um valor de cadeia de caracteres "Redmond" em alguma posição de sua Identidade.
-------------------------- Exemplo 3 ------------------------
Get-CsAdminRole | Where-Object {$_.IsStandardRole -eq $False} | Remove-CsAdminRole
No Exemplo 3, o comando exclui todas as funções personalizadas do RBAC que tiverem sido criadas para uso na organização. Para isso, o comando primeiramente chama Get-CsAdminRole, sem qualquer parâmetro, retornando uma coleção das funções do RBAC. Esta coleção será canalizada para o cmdlet Where-Object, que selecionará apenas as funções nas quais a propriedade IsStandardRole for igual a False. Por definição, qualquer função que atender a esse critério é uma função personalizada. Por sua vez, essas funções personalizadas serão canalizadas para o cmdlet Remove-CsAdminRole, que as excluirá.