New-CsAdminRole
上次修改主題的時間: 2012-03-23
建立新的角色存取控制 (RBAC) 角色。RBAC 角色用於定義使用者可以執行的管理工作,以及決定使用者可以執行這些工作的範圍。
語法
New-CsAdminRole -Identity <String> -Template <String> [-ConfigScopes <PSListModifier>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-InMemory <SwitchParameter>] [-UserScopes <PSListModifier>] [-WhatIf [<SwitchParameter>]]
詳細描述
角色存取控制 (RBAC) 可讓系統管理員委派控制 Microsoft Lync Server 2010 中的特定管理工作。例如,您可以不授予組織服務台完整的系統管理員權限,而是給予這些員工非常特定的權限:只管理使用者帳戶的權限;只管理 Enterprise Voice 元件的權限;只管理封存和封存伺服器的權限。此外,這些權限可以依範圍限制:可提供某些人管理 Enterprise Voice 的權限,但僅限於 Redmond 網站;也可提供其他人管理使用者的權限,但僅限於那些帳戶屬於 Finance 組織單位 (OU) 的使用者。
RBAC 的 Lync Server 2010 實作根據以下兩個重要元素:Active Directory 安全性群組與 Windows PowerShell 指令程式。當您安裝 Lync Server 2010 時,會為您建立許多萬用安全性群組,例如 CsAdministrator、CsArchivingAdministrator 和 CsHelpDesk。這些萬用安全性群組具有一個含 RBAC 角色的一對一對應;這表示任何位於 CsArchivingAdministrator 安全性群組中的使用者具有所有授與 CsArchivingAdministrator RBAC 角色的權限。授與 RBAC 角色的這些權限會依序地以指派給該角色的指令程式為基礎 (指令程式可以被指派給多個 RBAC 角色)。例如,假設已對某個角色指派下列指令程式:
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
上述清單代表允許指派某假設 RBAC 角色的使用者,在遠端 Windows PowerShell 工作階段期間僅能執行的指令程式。如果使用者嘗試執行 Disable-CsUser 指令程式,該命令將會失敗,因為指派假設角色的使用者並不具有執行 Disable-CsUser 的權限。這也適用於 Lync Server 控制台。例如,封存系統管理員無法使用 Lync Server 控制台來停用使用者,因為 Lync Server 控制台遵守 RBAC 角色。當您執行 Lync Server 控制台的命令時,實際上是在呼叫 Windows PowerShell 指令程式。如果不允許您執行 Disable-CsUser,則不論您是直接從 Windows PowerShell 執行該指令程式,還是在 Lync Server 控制台內間接執行指令程式,都無所謂,因為該命令將會失敗。
請注意,RBAC 僅適用於遠端管理。如果您登入執行 Lync Server 2010 的電腦,並開啟 Lync Server 管理命令介面,將不會強制執行 RBAC 角色。而是主要透過安全性群組 RTCUniversalServerAdmins、RTCUniversalUserAdmins 和 RTCUniversalReadOnlyAdmins 來強制執行安全性。
當您安裝 Lync Server 2010 時,安裝程式會建立數個內建的 RBAC 角色。這些角色涵蓋常見的管理範圍,例如語音管理、使用者管理和回應群組管理。這些內建的角色無法以下列任何方式進行修改:您無法將指令程式新增到角色或從中移除,也無法刪除這些角色 (嘗試刪除內建角色將會造成錯誤出現)。不過,您可以使用內建角色建立自訂 RBAC 角色。接著,可藉由變更管理範圍修改這些自訂的角色;例如,您可以使用特定的 Active Directory OU,將角色限制在管理使用者帳戶。
若要建立新角色,您必須先在 Active Directory 網域服務 (AD DS) 中建立一個與該角色共用名稱的萬用安全性群組;例如,若要建立一個名稱為 DialInConferencingAdministrator 的新角色,您必須先建立一個具有 SamAccountName DialInConferencingAdministrator 的安全性群組。請注意,New-CsAdminRole 不會為您建立此群組。當您呼叫 New-CsAdminRole 時,如果 DialInConferencingAdministrator 群組不存在,則命令會失敗。您指派給新角色的 Identity 必須是對應 Active Directory 群組的 SamAccountName。
建立 Active Directory 安全性群組之後,您必須選取一個內建的 RBAC 角色,當做新自訂角色的範本使用。您無法使用 New-CsAdminRole 建立空白的 RBAC 角色。但是,所有自訂角色都必須以其中一個內建 RBAC 角色為基礎。也就是說,自訂角色必須擁有與其中一個內建角色相同的已指派指令程式。不過,您可以使用 Set-CsAdminRole 來變更此自訂角色的管理範圍。
誰可以執行此 Cmdlet:下列群組的成員預設會獲授權可以在本機上執行 New-CsAdminRole Cmdlet:RTCUniversalServerAdmins。若要傳回所有獲指派此 Cmdlet 的角色存取控制 (RBAC) 角色清單 (包括您自行建立的自訂 RBAC 角色),請在 Windows PowerShell 提示字元中執行下列命令:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsAdminRole"}
參數
| 參數 | 必要 | 類型 | 說明 |
|---|---|---|---|
Identity |
必要 |
字串 |
要建立之 RBAC 角色的唯一識別碼。RBAC 角色的 Identity 必須與該角色相關聯之 Active Directory 萬用安全性群組的 SamAccountName 相同。例如,Help Desk 角色具有等於 CsHelpDesk 的 Identity;CsHelpDesk 也是與該角色相關聯之 Active Directory 萬用安全性群組的 SamAccountName。 |
Template |
必要 |
字串 |
內建 RBAC 角色的名稱,該角色將會當作要建立之自訂 RBAC 角色的範本使用。所有新的 RBAC 角色都必須以現有角色為基礎;您無法建立空白的 RBAC 角色 (亦即,未指派指令程式的角色,或未指派值給 ConfigScopes 或 UserScopes 內容的角色)。不過,在自訂角色建立完成之後,您可以使用 Set-CsAdminRole 指令程式修改新角色的屬性。 |
ConfigScopes |
選用 |
PS 清單修飾詞 |
用來將指令程式的範圍限制為指定之網站中的組態設定。若要將指令程式範圍限制在單一網站,請使用類似下列的語法:-ConfigScopes site:Redmond。使用逗號分隔清單可以指定多個網站:-ConfigScopes "site:Redmond, "site:Dublin"。您也可以將 ConfigScopes 屬性設定為 "global"。 指派值給 ConfigScopes 參數時,您必須使用 "site:"前置字元,後面接著網站 SiteId 內容的值;請注意,SiteID 的值與網站的 Identity 或網站的 DisplayName 不一定相同。若要決定指定網站的 SiteId,您可以使用類似下列的命令: Get-CsSite "Redmond" | Select-Object SiteId 您必須為 ConfigScopes 或 UserScopes 屬性 (或兩者) 指定值。 |
UserScopes |
選用 |
PS 清單修飾詞 |
用來將指令程式的範圍限制為指定之組織單位中的使用者管理活動。若要將指令程式範圍限制為單一組織單位,請使用類似如下的語法:-UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com"。使用逗號分隔清單可以指定多個組織單位:-UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com", "OU:ou=Dublin,dc=litwareinc,dc=com"。若要從角色新增範圍 (或移除現有範圍),請使用 Windows PowerShell 清單修飾詞語法。如需詳細資料,請參閱本主題的<範例>一節。 您必須為 ConfigScopes 或 UserScopes 屬性 (或兩者) 指定值。 |
Force |
選用 |
切換參數 |
隱藏顯示當執行命令時可能發生的任何非嚴重錯誤訊息。 |
InMemory |
選用 |
切換參數 |
建立物件參照,但而不實際將物件認可為永久變更。若將此參數所呼叫的 Cmdlet 輸出指派給變數,將可變更物件參照的屬性,然後呼叫此 Cmdlet 的對應 Set- Cmdlet 認可這些變更。 |
WhatIf |
選用 |
切換參數 |
描述執行命令後的結果,但無須實際執行命令。 |
Confirm |
選用 |
切換參數 |
執行命令前先要求您確認。 |
輸入類型
無。
傳回類型
New-CsAdminRole 會建立 Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role 物件的新執行個體。
範例
-------------------------- 範例 1 ------------------------
New-CsAdminRole -Identity "RedmondVoiceAdministrator" -Template "CsVoiceAdministrator"
範例 1 中的命令會複製 RBAC 角色 CsVoiceAdministrator。因為沒有使用其他參數,所以新角色 RedmondVoiceAdministrators 會是與 CsVoiceAdministrator 完全相同的複製項目,其中包含設為 "global" 的 UserScopes 和 ConfigScopes 內容。
-------------------------- 範例 2 ------------------------
New-CsAdminRole -Identity "RedmondVoiceAdministrator" -Template "CsVoiceAdministrator" -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com"
以上的命令會建立一個新的 RBAC 角色 (RedmondVoiceAdministrator),然後將該角色設定為允許單一使用者範圍:Redmond OU。若要這樣做,UserScopes 參數會與下列參數值一起加入:"OU:ou=Redmond,dc=litwareinc,dc=com"。此參數值會將 UserScopes 屬性的目前值取代成一個項目:將 OU 取代成辨別名稱 (DN) "ou=Redmond,dc=litwareinc,dc=com"。
-------------------------- 範例 3 ------------------------
New-CsAdminRole -Identity "RedmondVoiceAdministrator" -Template "CsVoiceAdministrator" -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com","OU:ou=Portland,dc=litwareinc,dc=com"
範例 3 所示的命令是範例 2 所示命令的變化;唯一的差異在於,在此範例中,會將兩個 OU 加入至 UserScopes 屬性。作法是指派逗號分隔清單給 Replace 方法:清單中的兩個項目分別代表要指派給新 RBAC 角色之兩個 OU (Redmond 和 Portland) 的識別碼。
-------------------------- 範例 4 ------------------------
New-CsAdminRole -Identity "RedmondVoiceAdministrator" -Template "CsVoiceAdministrator" -ConfigScopes "site:Redmond"
在範例 4 中,會將 SiteId 為 Redmond 的網站指派給新 RBAC 角色的 ConfigScopes 屬性。請注意,ConfigScopes 內容的語法需要使用 "site:"前置字元,後面接著要新增之網站的 SiteId 內容值。