Delegieren der Steuerung von Microsoft Lync Server 2010
Letztes Änderungsdatum des Themas: 2011-03-02
In Microsoft Lync Server 2010 werden Verwaltungsaufgaben über die neue Funktion für die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) an Benutzer delegiert. Bei der Installation von Lync Server 2010 werden verschiedene RBAC-Rollen erstellt. Diese Rollen entsprechen universellen Sicherheitsgruppen in Active Directory. Die RBAC-Rolle "CsHelpDesk" entspricht beispielsweise der Gruppe "CsHelpDesk" im Active Directory-Container "Users". Darüber hinaus sind jeder RBAC-Rolle eine Reihe von Windows PowerShell-Cmdlets in Lync Server zugeordnet. Diese Cmdlets stellen die Aufgaben dar, die von Benutzern mit der RBAC-Rolle ausgeführt werden können. Der Rolle "CsHelpDesk" sind z. B. die Cmdlets "Lock-CsClientPin" und "UnlockCsClientPin" zugewiesen, sodass Benutzer mit der Rolle "CsHelpDesk" zum Sperren und Aufheben der Sperrung von Benutzer-PINs berechtigt sind. Das Cmdlet "New-CsVoicePolicy" ist der Rolle "CsHelpDesk" jedoch nicht zugewiesen. Benutzer, denen die Rolle "CsHelpDesk" zugewiesen ist, können folglich keine neuen VoIP-Richtlinien erstellen.
Anzeigen von Informationen zu RBAC-Rollen
Führen Sie den folgenden Befehl in der Lync Server-Verwaltungsshell aus, um grundlegende Informationen zu Ihren RBAC-Rollen abzurufen:
Get-CsAdminRole
Bedenken Sie, dass die Identität der RBAC-Rolle (z. B. "CsVoiceAdministrator") über eine direkte Zuordnung zur Sicherheitsgruppe im Active Directory-Container "Users" verfügt.
Zum Abrufen einer Liste der Cmdlets, die einer Rolle zugewiesen sind, verwenden Sie einen Befehl wie den folgenden:
Get-CsAdminRole -Identity "CsHelpDesk" | Select-Object -ExpandProperty Cmdlets
Zuweisen einer RBAC-Rolle zu einem Benutzer
Zum Zuweisen einer RBAC-Rolle zu einem Benutzer müssen Sie den Benutzer zur entsprechenden Active Directory-Sicherheitsgruppe hinzufügen. Beispiel: Um einem Benutzer die Rolle "CsLocationAdministrator" zuzuweisen, müssen Sie den Benutzer zur Gruppe "CsLocationAdministrator" hinzufügen. Zu diesem Zweck können Sie die folgenden Schritte ausführen:
Zuweisen eines Benutzers zu einer Sicherheitsgruppe
Melden Sie sich über ein Konto mit Berechtigung zum Ändern der Mitgliedschaft einer Active Directory-Gruppe an dem Computer an, auf dem "Active Directory-Benutzer und -Computer" installiert ist.
Klicken Sie nacheinander auf Start, Alle Programme, Verwaltung und Active Directory-Benutzer und -Computer.
Erweitern Sie in "Active Directory-Benutzer und -Computer" den Namen Ihrer Domäne, und klicken Sie auf den Container Users.
Klicken Sie mit der rechten Maustaste auf die Sicherheitsgruppe CsLocationAdministrator, und klicken Sie auf Eigenschaften.
Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Mitglieder und anschließend auf Hinzufügen.
Geben Sie im Dialogfeld Benutzer, Computer, Kontakte oder Gruppen auswählen im Feld Geben Sie die zu verwendenden Objektnamen ein den Benutzer- oder Anzeigenamen des Benutzers ein, der zur Gruppe hinzugefügt werden soll (z. B. Ken Myer), und klicken Sie auf OK.
Klicken Sie im Dialogfeld Eigenschaften auf OK.
Verwenden Sie das Cmdlet Get-CsAdminRoleAssignment, um zu überprüfen, ob die RBAC-Rolle zugewiesen wurde. Übergeben Sie dem Cmdlet dabei die Eigenschaft "SamAccountName" (Active Directory-Anmeldename) des Benutzers. Führen Sie in der Lync Server-Verwaltungsshell beispielsweise den folgenden Befehl aus:
Get-CsAdminRoleAssignment -Identity "kenmyer"