.png)
Remove-CsAdminRole
Dernière rubrique modifiée : 2013-02-20
Supprime un rôle RBAC (Contrôle d’accès basé sur un rôle) existant. Les rôles de contrôle d’accès basé sur un rôle (RBAC) sont utilisés pour spécifier les tâches de gestion que les utilisateurs peuvent réaliser, et pour déterminer l’étendue dans laquelle les utilisateurs sont en mesure de réaliser ces tâches. Cette applet de commande est une nouveauté de Lync Server 2010.
Remove-CsAdminRole -Identity <String> <COMMON PARAMETERS>
Remove-CsAdminRole -Sid <String> <COMMON PARAMETERS>
Remove-CsAdminRole [-Filter <String>] <COMMON PARAMETERS>
COMMON PARAMETERS: [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
La commande présentée dans l’exemple 1 supprime le rôle RBAC portant l’identité RedmondHelpDesk.
Remove-CsAdminRole -Identity "RedmondHelpDesk"
L’exemple 2 supprime tous les rôles RBAC dont l’identité comporte la valeur de chaîne « Redmond ».
Remove-CsAdminRole -Filter "*Redmond*"
Dans l’exemple 3, la commande supprime tous les rôles RBAC personnalisés qui ont été créés pour être utilisés dans votre organisation. Pour cela, la commande appelle d’abord l’applet de commande Get-CsAdminRole, sans aucun paramètre, qui retourne une collection des rôles RBAC. Cette collection est ensuite redirigée vers l’applet de commande Where-Object qui sélectionne uniquement les rôles dont la propriété IsStandardRole est égale à False. Par définition, tous les rôles répondant à ce critère sont des rôles personnalisés. À leur tour, ces rôles personnalisés sont ensuite redirigés vers l’applet de commande Remove-CsAdminRole.
Get-CsAdminRole | Where-Object {$_.IsStandardRole -eq $False} | Remove-CsAdminRole
Le contrôle d’accès basé sur un rôle (RBAC) permet aux administrateurs de déléguer le contrôle de certaines tâches de gestion dans Lync Server. Par exemple, au lieu d’octroyer au personnel du support technique de l’organisation des privilèges d’administrateur complets, vous pouvez lui donner des droits très spécifiques : le droit de gérer uniquement des comptes d’utilisateur, le droit de gérer uniquement des composants Voix Entreprise, et le droit de gérer uniquement l’archivage et le serveur d’archivage. De plus, l’étendue de ces droits peut être limitée : une personne peut avoir le droit de gérer Voix Entreprise, mais uniquement sur le site de Redmond ; une autre personne peut avoir le droit de gérer les utilisateurs, mais uniquement les comptes des utilisateurs dans l’unité d’organisation Finance.
L’implémentation du contrôle RBAC dans Lync Server repose sur deux éléments clés : les groupes de sécurité Active Directory et les applets de commande Windows PowerShell. Lorsque vous installez Lync Server, certains groupes universels de sécurité sont créés pour vous, notamment les groupes CsAdministrator, CsArchivingAdministrator et CsViewOnlyAdministrator. Ces groupes universels de sécurité disposent d’une correspondance exacte avec des rôles RBAC, ce qui signifie que tous les utilisateurs du groupe de sécurité CsArchivingAdministrator bénéficient des droits octroyés au rôle RBAC CsArchivingAdministrator. À leur tour, les droits octroyés à un rôle RBAC sont fondés sur les applets de commande affectées à ce rôle (les applets de commande peuvent être affectées à plusieurs rôles RBAC). Par exemple, imaginons que les applets de commande suivantes aient été affectées à un rôle :
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
La liste ci-dessus répertorie uniquement les applets de commande qu’un utilisateur affecté à un rôle RBAC hypothétique peut exécuter dans une session distante de interface de ligne de commande Windows PowerShell. Si l’utilisateur tente d’exécuter l’applet de commande Disable-CsUser, cette commande échouera étant donné que les utilisateurs auxquels le rôle hypothétique a été affecté n’ont pas le droit d’exécuter l’applet de commande Disable-CsUser. Cela s’applique également au Panneau de configuration Lync Server. Par exemple, un administrateur d’archivage ne peut pas désactiver un utilisateur à l’aide du Panneau de configuration Lync Server puisque le Panneau de configuration Lync Server est conforme aux rôles RBAC. Chaque fois que vous exécutez une commande dans le Panneau de configuration Lync Server, vous appelez en fait une applet de commande Windows PowerShell. Si vous n’êtes pas autorisé à exécuter l’applet de commande Disable-CsUser, peu importe si vous exécutez directement cette applet de commande depuis Windows PowerShell ou si vous l’exécutez indirectement l’applet de commande depuis le Panneau de configuration Lync Server : la commande échouera.
Notez que le contrôle d’accès basé sur un rôle (RBAC) ne s’applique qu’à la gestion à distance. Si vous êtes connecté à un ordinateur équipé de Lync Server et ouvrez Lync Server Management Shell, les rôles RBAC ne sont pas appliqués. Au lieu de cela, la sécurité est principalement renforcée par le biais des groupes de sécurité RTCUniversalServerAdmins, RTCUniversalUserAdmins et RTCUniversalReadOnlyAdmins.
Lorsque vous installez Lync Server, le programme d’installation crée plusieurs rôles RBAC intégrés couvrant des tâches administratives courantes, telles que l’administration de la voix, la gestion des utilisateurs et l’administration Response Group. Ces rôles intégrés ne peuvent en aucune manière être modifiés : vous ne pouvez pas ajouter ou supprimer des applets de commande à ces rôles et vous ne pouvez pas supprimer ces rôles. (Toute tentative de suppression d’un rôle intégré aboutira à un message d’erreur.) Toutefois, vous pouvez utiliser les rôles intégrés pour créer des rôles RBAC personnalisés. Ces rôles personnalisés peuvent être modifiés en modifiant les étendues d’administration. Par exemple, il est possible de limiter le rôle de gestion des comptes d’utilisateur à une unité d’organisation Active Directory en particulier.
L’applet de commande Remove-CsAdminRole permet de supprimer tous les rôles personnalisés que vous créez. Notez que l’applet de commande Remove-CsAdminRole ne supprime pas le groupe de sécurité Active Directory correspondant au rôle personnalisé et ne supprime aucun membre affecté au groupe. Au lieu de cela, l’applet de commande veille simplement à ce que le rôle personnalisé ne puisse servir à déléguer le contrôle de Lync Server.
Lorsque vous supprimez un rôle RBAC, Windows PowerShell vous demande si vous êtes sûr de vouloir supprimer ce rôle. Si vous ne répondez pas à cette invite (ou si vous ne répondez pas par Oui), le rôle ne sera pas supprimé. Pour éviter ces invites de confirmation, utilisez le paramètre Confirm et définissez sa valeur sur $False :
Remove-CsAdminRole RedmondAdministrators –Confirm:$False
Personnes autorisées à exécuter cette applet de commande : Par défaut, les membres des groupes qui suivent sont autorisés à exécuter localement l’applet de commande Remove-CsAdminRole : RTCUniversalServerAdmins. Pour retourner une liste de tous les rôles RBAC (Contrôle d’accès basé sur un rôle) auxquels cette applet de commande a été affectée (y compris les rôles RBAC personnalisés créés par vos soins), exécutez la commande suivante à l’invite Windows PowerShell :
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsAdminRole"}
| Paramètre | Obligatoire | Type | Description |
|---|---|---|---|
| Identity | Obligatoire | System.String | Identificateur unique du rôle RBAC à supprimer. L’identité du rôle RBAC doit être identique au SamAccountName du groupe universel de sécurité Active Directory associé à ce rôle. Par exemple, l’identité du rôle Help Desk (assistance technique) est égale à CsHelpDesk. CsHelpDesk est également le SamAccountName du groupe de sécurité Active Directory associé à ce rôle. |
| Sid | Obligatoire | System.String | Permet d’utiliser un identificateur de sécurité (SID) afin de spécifier le rôle RBAC à supprimer. Les identificateurs de sécurité sont affectés par Lync Server au moment de la création même du rôle RBAC et se présentent comme suit : S-1-5-21-1573807623-1597889489-1765977225-1145. L’identificateur de sécurité d’un rôle RBAC donné peut être récupéré à l’aide de l’applet de commande Get-CsAdminRole. |
| Confirm | Facultatif | System.Management.Automation.SwitchParameter | Permet d’ignorer l’invite de confirmation qui s’affiche normalement lorsque vous essayez de supprimer un rôle RBAC. Pour passer outre l’invite de confirmation, incluez le paramètre Confirm et définissez sa valeur sur $False : Remove-CsAdminRole RedmondAdministrators –Confirm:$False |
| Filter | Facultatif | System.String | Permet d’utiliser des caractères génériques afin d’indiquer les rôles RBAC personnalisés à supprimer. Par exemple, pour supprimer tous les rôles personnalisés comprenant la valeur « Redmond » dans leur paramètre Identity, utilisez la syntaxe suivante : -Filter "*Redmond*". |
| Force | Facultatif | System.Management.Automation.SwitchParameter | Supprime l’affichage de tous les messages d’erreur récupérable susceptibles d’apparaître lors de l’exécution de la commande. |
| WhatIf | Facultatif | System.Management.Automation.SwitchParameter | Décrit ce qui se passe si vous exécutez la commande sans l’exécuter réellement. |
Objet Microsoft.Rtc.Management.ADConnect.Schema.ADUser. L’applet de commande Remove-CsAdminRole accepte l’entrée redirigée pour les objets utilisateur.
L’applet de commande Remove-CsAdminRole supprime les instances existantes de l’objet Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role.
