Grant-CsExternalAccessPolicy
上一次修改主题: 2012-03-23
用于将外部访问策略分配给用户或用户组。外部访问策略可确定用户是否能够:1) 与在联盟组织中拥有会话初始协议 (SIP) 帐户的用户通信;2) 与在公共即时消息 (IM) 提供商(如 MSN)中拥有 SIP 帐户的用户通信;以及 3) 通过 Internet 访问 Microsoft Lync Server 2010,而不必登录内部网络。
语法
Grant-CsExternalAccessPolicy -Identity <UserIdParameter> [-PolicyName <String>] [-Confirm [<SwitchParameter>]] [-DomainController <Fqdn>] [-PassThru <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
详细说明
安装 Lync Server 2010 时,只允许您的用户相互之间交换即时消息和状态信息:默认情况下,仅与在Active Directory 域服务 (AD DS)中拥有 SIP 帐户的其他人员通信。此外,还不允许用户通过 Internet 访问 Lync Server;他们必须先登录内部网络,然后才能登录 Lync Server。
这可能足以满足您的通信需求。如果无法满足您的需求,则可以使用外部访问策略来扩展用户的通信和协作能力。外部访问策略可以授予(或撤消)用户执行以下任何操作或所有操作的能力:
1. 与在联盟组织中拥有 SIP 帐户的人员通信。请注意,启用联盟不会自动使用户具备这种能力。您必须启用联盟,然后向用户分配可授予他们与联盟用户通信的权利的外部访问策略。
2. 与在公共即时消息服务(如 MSN)中拥有 SIP 帐户的人员通信。
3. 通过 Internet 访问 Lync Server,而不必首先登录内部网络。这样,用户便可以在网吧或其他远程位置使用 Microsoft Lync 2010 并登录 Lync Server。
安装 Lync Server 时,系统将自动为您创建全局外部访问策略。除此全局策略之外,您还可以使用 New-CsExternalAccessPolicy 创建在 site 作用域或每用户作用域配置的其他外部访问策略。
在 site 作用域创建策略时,该策略将自动分配给相关站点;例如,Identity 为 site:Redmond 的外部访问策略将自动分配给 Redmond 站点。相比之下,在每用户作用域创建的策略不会自动分配给任何人。必须将这些策略显式分配给某个用户或用户组。分配每用户策略可通过 Grant-CsExternalAccessPolicy cmdlet 执行。
请注意,每用户策略始终优先于站点策略和全局策略。例如,假设您创建的每用户策略允许您与联盟用户通信,并且您将该策略分配给 Ken Myer。只要该策略生效,Ken 就可以与联盟用户通信,即使 Ken 的站点策略或全局策略不允许此类通信也是如此。这是因为每用户策略中的设置具有更高优先级。
谁能运行此 cmdlet:默认情况下,以下各组的成员有权在本地运行 Grant-CsExternalAccessPolicy cmdlet:RTCUniversalUserAdmins。要返回分配了此 cmdlet 的所有基于角色的访问控制 (RBAC) 角色列表(包括您自己创建的任何自定义 RBAC 角色),请从 Windows PowerShell 提示符处运行以下命令:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Grant-CsExternalAccessPolicy"}
参数
| 参数 | 必需 | 类型 | 描述 |
|---|---|---|---|
Identity |
必需 |
Xds 标识 |
应向其分配策略的用户帐户的标识。可以采用下列四种格式之一来指定用户标识:1) 用户的 SIP 地址;2) 用户的用户主体名称 (UPN);3) 用户的域名和登录名,格式为“域名\登录名”(如 litwareinc\kenmyer);以及 4) 用户的 Active Directory 显示名称(例如 Ken Myer)。此外,还可以使用用户的 Active Directory 可分辨名称引用用户标识。 此外,在指定用户标识时,您还可以使用通配符星号 (*)。例如,Identity "* Smith" 将返回显示名称以字符串值“ Smith”结尾的所有用户。 |
PolicyName |
必需 |
字符串 |
要分配的策略的“名称”。PolicyName 就是策略标识去除策略作用域(“tag:”前缀)。例如,Identity 为 tag:Redmond 的策略的 PolicyName 等于 Redmond;Identity 为 tag:RedmondAccessPolicy 的策略的 PolicyName 等于 RedmondAccessPolicy。 要取消分配以前分配给用户的每用户策略,请将 PolicyName 参数设置为 $Null。 |
DomainController |
可选 |
字符串 |
用于在分配新策略时指定要联系的域控制器的完全限定域名 (FQDN)。如果未指定此参数,则 Grant-CsExternalAccessPolicy 将联系第一个可用的域控制器。 |
PassThru |
可选 |
开关参数 |
使您可以通过管道传递用户对象,该用户对象表示要分配策略的用户。默认情况下,Grant-CsExternalAccessPolicy cmdlet 不通过管道传递对象。 |
WhatIf |
可选 |
开关参数 |
描述如果执行命令会发生什么情况(无需实际执行命令)。 |
Confirm |
可选 |
开关参数 |
在执行命令之前提示您进行确认。 |
输入类型
字符串值或 Microsoft.Rtc.Management.ADConnect.Schema.ADUser 对象。Grant-CsExternalAccessPolicy 接受通过管道传递的代表用户帐户 Identity 的字符串值的输入。该 cmdlet 还接受通过管道传递的用户对象的输入。
返回类型
默认情况下,Grant-CsExternalAccessPolicy 不会返回值或对象。但是,如果包含 PassThru 参数,该 cmdlet 将返回 Microsoft.Rtc.Management.ADConnect.Schema.OCSUserOrAppContact 对象的实例。
示例
-------------------------- 示例 1 --------------------------
Grant-CsExternalAccessPolicy -Identity "Ken Myer" -PolicyName RedmondAccessPolicy
上述命令将外部访问策略 RedmondAccessPolicy 分配给 Active Directory 显示名称为 Ken Myer 的用户。
-------------------------- 示例 2 --------------------------
Get-CsUser -LDAPFilter "l=Redmond" | Grant-CsExternalAccessPolicy -PolicyName RedmondAccessPolicy
示例 2 中显示的命令将外部访问策略 RedmondAccessPolicy 分配给在 Redmond 市工作的所有用户。为执行此操作,该命令首先使用 Get-CsUser 和 LDAPFilter 参数以返回在 Redmond 工作的所有用户的集合;筛选器值“l=Redmond”将返回的数据限制为在 Redmond 市工作的用户(筛选器中的 l,即小写 L,代表 locality)。然后,将该集合通过管道传递到 Grant-CsExternalAccessPolicy,后者会为集合中的每个用户分配 RedmondAccessPolicy 策略。
-------------------------- 示例 3 --------------------------
Get-CsUser -LDAPFilter "Title=Sales Representative" | Grant-CsExternalAccessPolicy -PolicyName SalesAccessPolicy
在示例 3 中,将为职务为“Sales Representative”的所有用户分配外部访问策略 SalesAccessPolicy。为了执行此任务,该命令首先使用 Get-CsUser 和 LDAPFilter 参数返回所有 Sales Representatives 的集合;筛选器值“Title=Sales Representative”将返回的集合限制为职务为“Sales Representative”的用户。然后,将筛选出的集合通过管道传递到 Grant-CsExternalAccessPolicy,后者会为集合中的每个用户分配策略 SalesAccessPolicy。
-------------------------- 示例 4 --------------------------
Get-CsUser -Filter {ExternalAccessPolicy -eq $Null} | Grant-CsExternalAccessPolicy -PolicyName BasicAccessPolicy
示例 4 中显示的命令将外部访问策略 BasicAccessPolicy 分配给未显式分配有每用户策略的所有用户(即,当前由站点策略或全局策略管理的用户)。为执行此操作,使用 Get-CsUser 和 Filter 参数返回相应的用户集;筛选器值 {ExternalAccessPolicy -eq $Null} 将返回的数据限制为 ExternalAccessPolicy 属性等于 (-eq) null 值 ($Null) 的用户帐户。根据定义,仅当用户未分配有每用户策略时,ExternalAccessPolicy 才会为 null。
然后,将筛选出的集合通过管道传递到 Grant-CsExternalAccessPolicy,后者会为集合中的每个用户分配策略 BasicAccessPolicy。
-------------------------- 示例 5 --------------------------
Get-CsUser -OU "ou=US,dc=litwareinc,dc=com" | Grant-CsExternalAccessPolicy -PolicyName USAccessPolicy
上述命令将外部访问策略 USAccessPolicy 分配给在 US 组织单位 (OU) 中拥有帐户的所有用户。该命令首先调用 Get-CsUser 和 OU 参数;参数值“ou=US,dc=litwareinc,dc=com”将返回的数据限制为在 US OU 中找到的用户帐户。然后,将返回的集合通过管道传递到 Grant-CsExternalAccessPolicy,后者会为集合中的每个用户分配 USAccessPolicy 策略。
-------------------------- 示例 6 --------------------------
Get-CsUser | Grant-CsExternalAccessPolicy -PolicyName $Null
示例 6 取消分配以前分配给任何已启用 Lync Server 的用户的每用户外部访问策略。为执行此操作,该命令调用了 Get-CsUser(不带任何其他参数),以便返回启用了 Lync Server 的所有用户的集合。然后,将该集合通过管道传递到 Grant-CsExternalAccessPolicy,后者会使用语法“-PolicyName $Null”删除以前分配给这些用户的所有每用户外部访问策略。