Get-CsAdminRole
Letztes Änderungsdatum des Themas: 2012-03-23
Gibt Informationen über die rollenbasierten Zugriffssteuerungsrollen (RBAC, Role-Based Access Control) zurück, die in Ihrer Organisation verwendet werden. Mit rollenbasierten Zugriffssteuerungsrollen werden Verwaltungsaufgaben angegeben, die Benutzer ausführen können, und der Gültigkeitsbereich ermittelt, innerhalb dessen Benutzer diese Aufgaben ausführen dürfen.
Syntax
Get-CsAdminRole [-Identity <String>] [-LocalStore <SwitchParameter>]
Get-CsAdminRole [-Sid <String>] [-LocalStore <SwitchParameter>]
Get-CsAdminRole [-Filter <String>] [-LocalStore <SwitchParameter>]
Detaillierte Beschreibung
Die rollenbasierte Zugriffssteuerung ermöglicht es Administratoren, die Steuerung spezifischer Verwaltungsaufgaben in Microsoft Lync Server 2010 zu delegieren. Anstatt beispielsweise den Helpdeskmitarbeitern Ihrer Organisation vollständige Administratorrechte zu gewähren, können Sie diesen Mitarbeitern spezielle Rechte erteilen, z. B. das Recht zur ausschließlichen Verwaltung von Benutzerkonten, das Recht zur ausschließlichen Verwaltung von Enterprise-VoIP-Komponenten und das Recht zur ausschließlichen Verwaltung von Archivierung und Archivierungsserver. Darüber hinaus können Sie den Gültigkeitsbereich dieser Rechte einschränken: Beispielsweise könnten Sie einem Benutzer das Recht zur Verwaltung der Enterprise-VoIP-Anwendung nur für den Standort Redmond erteilen und einem anderen Benutzer das Recht zum Verwalten ausschließlich der Benutzer, deren Benutzerkonten der Organisationseinheit "Finance" angehören.
Die Lync Server 2010-Implementierung der rollenbasierten Zugriffssteuerung basiert auf zwei Hauptelementen: Active Directory-Sicherheitsgruppen und Windows PowerShell-Cmdlets. Beim Installieren von Lync Server 2010 werden verschiedene universelle Sicherheitsgruppen erstellt, darunter "CsAdministrator", "CsArchivingAdministrator" und "CsViewOnlyAdministrator". Diese universellen Sicherheitsgruppen entsprechen jeweils einer spezifischen rollenbasierten Zugriffssteuerungsrolle, d. h. dass jedem Benutzer in der Sicherheitsgruppe "CsArchivingAdministrator" die Rechte der Rolle "CsArchivingAdministrator" erteilt werden. Die einer rollenbasierten Zugriffssteuerungsrolle erteilten Rechte basieren wiederum auf den dieser Rolle zugewiesenen Cmdlets. (Cmdlets können mehreren rollenbasierten Zugriffssteuerungsrollen zugewiesen werden.) Angenommen, einer Rolle wurden die folgenden Cmdlets zugewiesen:
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
Diese Liste enthält nur Cmdlets, die von einem Benutzer mit einer hypothetischen rollenbasierten Zugriffssteuerungsrolle in einer Windows PowerShell-Remotesitzung ausgeführt werden dürfen. Wenn der Benutzer versucht, das Cmdlet Disable-CsUser auszuführen, wird ein Fehler zurückgegeben, da Benutzer mit dieser hypothetischen Rolle nicht berechtigt sind, Disable-CsUser auszuführen. Gleiches gilt auch für die Lync Server-Systemsteuerung. Ein Archivadministrator kann einen Benutzer beispielsweise nicht über die Lync Server-Systemsteuerung deaktivieren, da die Lync Server-Systemsteuerung den rollenbasierten Zugriffssteuerungsrollen unterliegt. (Beim Ausführen eines Befehls in der Lync Server-Systemsteuerung wird tatsächlich ein Windows PowerShell-Cmdlet aufgerufen.) Wenn Sie nicht zum Ausführen von Disable-CsUser berechtigt sind, spielt es keine Rolle, ob Sie das Cmdlet direkt aus einer Remotesitzung von Windows PowerShell oder indirekt über die Lync Server-Systemsteuerung ausführen: Beim Ausführen des Befehls tritt ein Fehler auf.
Beachten Sie, dass die rollenbasierte Zugriffssteuerung nur für die Remoteverwaltung gilt. Wenn Sie an einem Computer mit Lync Server 2010 angemeldet sind und die Lync Server-Verwaltungsshell öffnen, werden rollenbasierte Zugriffssteuerungsrollen nicht erzwungen. Stattdessen erfolgt die Erzwingung der Sicherheit primär über die Sicherheitsgruppen "RTCUniversalServerAdmins", "RTCUniversalUserAdmins" und "RTCUniversalReadOnlyAdmins".
Bei der Installation von Lync Server 2010 erstellt das Setupprogramm verschiedene integrierte rollenbasierte Zugriffssteuerungsrollen. Diese decken Routineverwaltungsbereiche wie VoIP-Verwaltung, Benutzerverwaltung und Reaktionsgruppenverwaltung ab. Diese integrierten Rollen können nicht verändert werden. Sie können den Rollen keine Cmdlets hinzufügen oder Cmdlets aus diesen entfernen. Ferner können Sie diese Rollen auch nicht löschen. (Bei dem Versuch, eine integrierte Rolle zu löschen, wird eine Fehlermeldung angezeigt.) Sie können jedoch anhand dieser Rollen benutzerdefinierte rollenbasierte Zugriffssteuerungsrollen erstellen. Diese benutzerdefinierten Rollen können dann geändert werden, indem die Verwaltungsbereiche geändert werden. So können Sie beispielsweise die Rolle auf die Verwaltung von Benutzerkonten mit einer bestimmten Active Directory-OU beschränken.
Mit dem Cmdlet Get-CsAdminRole werden Informationen zu allen in Ihrer Organisation konfigurierten rollenbasierten Zugriffssteuerungsrollen zurückgegeben.
Dieses Cmdlet kann von folgenden Benutzern ausgeführt werden: Standardmäßig dürfen Mitglieder der folgenden Gruppen das Cmdlet Get-CsAdminRole lokal ausführen: RTCUniversalUserAdmins, RTCUniversalServerAdmins, RTCUniversalReadOnlyAdmins. Geben Sie den folgenden Befehl an der Windows PowerShell-Eingabeaufforderung ein, um eine Liste aller rollenbasierten Zugriffssteuerungsrollen zurückzugeben, die diesem Cmdlet zugewiesen wurden (einschließlich der benutzerdefinierten rollenbasierten Zugriffssteuerungsrollen, die Sie selbst erstellt haben):
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Get-CsAdminRole\b"}
Parameter
| Parameter | Erforderlich | Typ | Beschreibung |
|---|---|---|---|
Identity |
Optional |
Zeichenfolge |
Eindeutige ID für die zurückzugebende rollenbasierte Zugriffssteuerungsrolle. Der Identitätswert einer rollenbasierten Zugriffssteuerungsrolle muss mit dem Wert von "SamAccountName" für die dieser Rolle zugeordnete universelle Active Directory-Sicherheitsgruppe übereinstimmen. Der Identitätswert der Helpdeskrolle lautet beispielsweise "CsHelpDesk". "CsHelpDesk" ist auch der Wert von "SamAccountName", der dieser Rolle zugeordneten Active Directory-Sicherheitsgruppe. |
Filter |
Optional |
Zeichenfolge |
Ermöglicht die Verwendung von Platzhaltern zum Angeben der zurückzugebenden rollenbasierten Zugriffssteuerungsrolle(n). Um beispielsweise alle Rollen zurückzugeben, die in ihrem Identitätswert die Zeichenfolge "Redmond" enthalten, können Sie folgende Syntax verwenden: -Filter "*Redmond*". |
Sid |
Optional |
Sicherheits-ID |
Ermöglicht es Ihnen, die abzurufende rollenbasierte Zugriffssteuerungsrolle mithilfe einer SID (Security Identifier) anzugeben. SIDs werden beim Erstellen der rollenbasierten Zugriffssteuerungsrolle von Lync Server 2010 zugewiesen und sehen etwa wie folgt aus: S-1-5-21-1573807623-1597889489-1765977225-1145. Dieselbe SID ist auch in der entsprechenden Active Directory-Sicherheitsgruppe zu finden. |
LocalStore |
Optional |
Switch-Parameter |
Ruft die rollenbasierten Zugriffssteuerungsdaten aus dem lokalen Replikat des zentraler Verwaltungsspeichers ab, statt sie aus dem zentraler Verwaltungsspeicher selbst abzurufen. |
Eingabetypen
Keine.
Rückgabetypen
Mit Get-CsAdminRole werden Instanzen des Objekts "Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role" zurückgegeben.
Beispiel
-------------------------- Beispiel 1 ------------------------
Get-CsAdminRole
Der Befehl in Beispiel 1 gibt Informationen zu allen in Ihrer Organisation konfigurierten rollenbasierten Zugriffssteuerungsrollen zurück. Dazu wird Get-CsAdminRole ohne Parameter aufgerufen.
-------------------------- Beispiel 2 ------------------------
Get-CsAdminRole -Identity "CsHelpDesk"
In Beispiel 2 wird eine einzige rollenbasierte Zugriffssteuerungsrolle zurückgegeben: die Rolle mit der Identität "CsHelpDesk".
-------------------------- Beispiel 3 ------------------------
Get-CsAdminRole -Filter "*Voice*"
Mit dem vorstehenden Befehl werden alle rollenbasierten Zugriffssteuerungsrollen zurückgegeben, deren Identitätswert die Zeichenfolge "Voice" enthält (z. B. "CsVoiceAdministrator", "RedmondVoiceAdministrators"). Hierzu wird Get-CsAdminRole mit dem Parameter "Filter" aufgerufen; der Filterwert "*Voice*" beschränkt die zurückgegebenen Daten auf rollenbasierte Zugriffssteuerungsrollen, deren Identitätswert an beliebiger Stelle die Zeichenfolge "Voice" enthält.
-------------------------- Beispiel 4 ------------------------
Get-CsAdminRole | Where-Object {$_.IsStandardRole -eq $False}
In Beispiel 4 werden alle benutzerdefinierten Zugriffssteuerungsrollen zurückgegeben, die speziell zur Verwendung in Ihrer Organisation erstellt wurden. Hierzu ruft der Befehl zunächst Get-CsAdminRole auf, um eine Auflistung aller derzeit verwendeten rollenbasierten Zugriffssteuerungsrollen zurückzugeben. Diese Auflistung wird dann an das Cmdlet Where-Object weitergeleitet, das nur Rollen herausfiltert, bei denen die Eigenschaft "IsStandardRole" den Wert "False" aufweist. Der Definition entsprechend handelt es sich bei allen Rollen, die dieses Kriterium erfüllen, um benutzerdefinierte rollenbasierte Zugriffssteuerungsrollen.
-------------------------- Beispiel 5 ------------------------
Get-CsAdminRole | Where-Object {$_.Cmdlets -match "Set-CsUser\b"}
Der Befehl in Beispiel 5 gibt alle rollenbasierten Zugriffssteuerungsrollen zurück, die das Cmdlet Set-CsUser beinhalten. Dazu ruft der Befehl zunächst Get-CsAdminRole ohne Parameter auf, um eine Auflistung aller rollenbasierten Zugriffssteuerungsrollen der Organisation zurückzugeben. Diese Auflistung wird dann an das Cmdlet Where-Object weitergeleitet, das alle Rollen herausfiltert, deren Eigenschaft "Cmdlets" die Zeichenfolge "Set-CsUser\b" enthält. (Mit "\b" wird ein Wort begrenzt, d. h., "Set-CsUser" stellt den gesamten Zeichenfolgenwert dar.)
-------------------------- Beispiel 6 ------------------------
Get-CsAdminRole | Where-Object {$_.UserScopes -match "OU: ou=Redmond,dc=litwareinc,dc=com"}
In Beispiel 6 werden Informationen über alle rollenbasierte Zugriffssteuerungsrollen zurückgegeben, deren Eigenschaft "UserScopes" die angegebene Organisationseinheit (ou=Redmond, dc=litwareinc, dc=com) enthält. Hierzu ruft der Befehl zunächst Get-CsAdminRole auf, um eine Auflistung aller derzeit konfigurierten rollenbasierten Zugriffssteuerungsrollen zurückzugeben. Diese Auflistung wird dann an das Cmdlet Where-Object weitergeleitet, das alle Rollen herausfiltert, deren Eigenschaft "UserScopes" den Zeichenfolgenwert "OU:ou=Redmond,dc=litwareinc,dc=com" enthält.
-------------------------- Beispiel 7 ------------------------
Get-CsAdminRole -Identity "CsVoiceAdministrator" | Select-Object -ExpandProperty Cmdlets
Mit dem vorstehenden Befehl wird eine Liste aller Cmdlets zurückgegeben, die in der Rolle "CsVoiceAdministrator" enthalten sind. Hierzu verwendet der Befehl zunächst Get-CsAdminRole, um alle Eigenschaften und Eigenschaftswerte für "CsVoiceAdministrator" zurückzugeben. Diese Informationen werden anschließend an das Cmdlet Select-Object weitergeleitet, das den Parameter "ExpandProperty" verwendet, um alle in der Eigenschaft "Cmdlets" enthaltenen Objekte anzuzeigen.