Set-CsAdminRole
마지막으로 수정된 항목: 2012-03-26
기존 RBAC(역할 기반 액세스 제어) 역할을 수정합니다. RBAC 역할은 사용자가 수행할 수 있는 관리 작업을 지정하고 사용자가 이러한 작업을 수행할 수 있는 범위를 결정하는 데 사용됩니다.
구문
Set-CsAdminRole -Identity <String> [-ConfigScopes <PSListModifier>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-UserScopes <PSListModifier>] [-WhatIf [<SwitchParameter>]]
자세한 정보
RBAC를 통해 관리자는 Microsoft Lync Server 2010에서 특정 관리 작업의 제어권을 위임할 수 있습니다. 예를 들어 조직의 지원 센터에 전체 관리자 권한을 부여하지 않고 사용자 계정만 관리하는 권한, Enterprise Voice 구성 요소만 관리하는 권한 및 보관 및 보관 서버만 관리하는 권한과 같은 구체적인 권한을 지원 센터 담당자에게 부여할 수 있습니다. 또한 이러한 권한은 특정 범위로 제한될 수 있습니다. 어떤 사람에게는 Redmond 사이트에 대해서만 Enterprise Voice 관리 권한을 부여하고, 또 다른 사람에게는 Finance OU(조직 구성 단위)에 있는 사용자 계정에 대해서만 사용자 관리 권한을 부여할 수 있습니다.
Lync Server 2010의 RBAC 구현은 Active Directory 보안 그룹 및 Windows PowerShell cmdlet의 두 가지 주요 요소를 기반으로 합니다. Lync Server 2010을 설치하면 여러 유니버설 보안 그룹(CsAdministrator, CsArchivingAdministrator 및 CsViewOnlyAdministrator 등)이 만들어집니다. 이러한 유니버설 보안 그룹은 RBAC 역할에 일 대 일로 대응합니다. 즉, CsArchivingAdministrator 보안 그룹에 속한 사용자에게는 CsArchivingAdministrator RBAC 역할에 대한 모든 권한이 부여됩니다. 차례로 RBAC 역할에 부여되는 권한은 해당 역할에 할당된 cmdlet(cmdlet은 여러 RBAC 역할에 할당 가능)를 기반으로 합니다. 예를 들어 역할에 다음 cmdlet이 할당되었다고 가정해 보겠습니다.
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
위의 목록은 사용자가 가상 RBAC 역할을 할당한 cmdlet만 Windows PowerShell의 원격 세션에서 실행할 수 있음을 나타냅니다. 사용자가 Disable-CsUser cmdlet을 실행하려고 하면 가상 역할이 할당된 사용자에게 Disable-CsUser 실행 권한이 없으므로 명령이 실패합니다. 이는 Lync Server 제어판에도 적용됩니다. 예를 들어 Lync Server 제어판에서 RBAC 역할을 준수하기 때문에 보관 관리자는 Lync Server 제어판을 사용하여 사용자를 비활성화할 수 없습니다. Lync Server 제어판에서 명령을 실행할 때마다 실제로 Windows PowerShell cmdlet이 호출됩니다. Disable-CsUser를 실행할 수 없는 경우 Windows PowerShell에서 cmdlet을 직접 실행하는지, 아니면 Lync Server 제어판 내에서 cmdlet을 간접적으로 실행하는지에 관계없이 명령이 실패합니다.
RBAC는 원격 관리에만 적용됩니다. Lync Server 2010을 실행 중인 컴퓨터에 로그온하고 Lync Server 관리 셸을 열면 RBAC 역할이 적용되지 않습니다. 대신 보안은 주로 보안 그룹 RTCUniversalServerAdmins, RTCUniversalUserAdmins 및 RTCUniversalReadOnlyAdmins를 통해 적용됩니다.
Lync Server 2010을 설치할 때 설치 프로그램에서 여러 개의 기본 제공 RBAC 역할, 즉 음성 관리, 사용자 관리, 응답 그룹 관리 등 일반적인 관리 분야를 담당하는 역할을 만듭니다. 이러한 기본 제공 역할은 어떠한 방법으로도 수정할 수 없습니다. 즉, 이러한 역할에 cmdlet을 추가하거나 제거할 수 없고 이러한 역할을 삭제할 수 없습니다. 기본 제공 역할을 삭제하려고 하면 오류 메시지가 나타납니다. 그러나 기본 제공 역할을 사용하여 사용자 지정 RBAC 역할을 만들 수는 있습니다. 그러면 관리 범위를 변경하여 이러한 사용자 지정 역할을 수정할 수 있습니다. 예를 들어 특정 Active Directory OU에서 사용자 계정을 관리하도록 역할을 제한할 수 있습니다.
새로 만드는 사용자 지정 역할은 템플릿, 즉 기존 RBAC 역할을 기반으로 해야 합니다. 예를 들어 전화 접속 회의 관리자 역할을 만들려면 기존 RBAC 역할을 효과적으로 복제해야 합니다. 예를 들어 전화 접속 회의 관리자 역할은 기존 음성 관리자 역할을 기반으로 할 수 있습니다. 사용자 지정 역할을 만든 후에는 Set-CsAdminRole을 사용하여 새 역할의 속성을 수정할 수 있습니다.
이 cmdlet을 실행할 수 있는 사용자: 기본적으로 RTCUniversalServerAdmins 그룹의 구성원은 Set-CsAdminRole cmdlet을 로컬로 실행할 수 있습니다. 사용자가 직접 만든 사용자 지정 RBAC 역할을 포함하여 이 cmdlet이 할당된 모든 RBAC 역할의 목록을 가져오려면 Windows PowerShell 프롬프트에서 다음 명령을 실행합니다.
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsAdminRole"}
매개 변수
| 매개 변수 | 필수 | 유형 | 설명 |
|---|---|---|---|
Identity |
필수 |
문자열 |
수정할 RBAC 역할의 고유 식별자입니다. RBAC 역할의 ID는 해당 역할에 연결된 Active Directory 유니버설 보안 그룹의 SamAccountName과 같아야 합니다. 예를 들어 Help Desk 역할의 ID는 CsHelpDesk와 같습니다. CsHelpDesk는 해당 역할에 연결된 Active Directory 보안 그룹의 SamAccountName이기도 합니다. |
ConfigScopes |
선택 |
PS 목록 한정자 |
cmdlet의 범위를 지정된 사이트 내의 구성 설정으로 제한합니다. cmdlet 범위를 단일 사이트로 제한하려면 -ConfigScopes site:Redmond와 유사한 구문을 사용합니다. 쉼표로 구분된 목록을 사용하여 여러 사이트를 지정할 수도 있습니다(예: -ConfigScopes "site:Redmond, "site:Dublin"). 또한 ConfigScopes 속성을 "global"로 설정할 수도 있습니다. ConfigScopes 매개 변수에 값을 할당할 때는 "site:" 접두사를 사용하고 그 뒤에 사이트의 SiteId 속성 값을 제공해야 합니다. SiteId 값은 사이트의 Identity 또는 사이트의 DisplayName과 다를 수도 있습니다. 특정 사이트의 SiteId를 확인하려면 다음과 유사한 명령을 사용하면 됩니다. Get-CsSite "Redmond" | Select-Object SiteId ConfigScopes 속성 값과 UserScopes 속성 값 중 하나 또는 둘 다를 지정해야 합니다. |
UserScopes |
선택 |
PS 목록 한정자 |
cmdlet의 범위를 지정된 OU 내의 사용자 관리 작업으로 제한합니다. cmdlet 범위를 단일 OU로 제한하려면 -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com"과 유사한 구문을 사용합니다. 쉼표로 구분된 목록을 사용하여 여러 OU를 지정할 수도 있습니다(예: -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com", "OU:ou=Dublin,dc=litwareinc,dc=com"). 역할의 새 범위를 추가하거나 기존 범위를 제거하려면 Windows PowerShell 목록 한정자 구문을 사용합니다. 자세한 내용은 이 도움말 항목의 예제 섹션을 참조하십시오. ConfigScopes 속성 값과 UserScopes 속성 값 중 하나 또는 둘 다를 지정해야 합니다. |
Force |
선택 |
스위치 매개 변수 |
명령을 실행할 때 발생할 수 있는 심각하지 않은 오류 메시지를 표시하지 않습니다. |
WhatIf |
선택 |
스위치 매개 변수 |
명령을 실제로 실행하지 않고도 명령이 실행될 경우 발생할 수 있는 현상을 설명합니다. |
Confirm |
선택 |
스위치 매개 변수 |
명령을 실행하기 전에 확인 메시지를 표시합니다. |
입력 형식
없음.
반환 형식
Set-CsAdminRole은 값이나 개체를 반환하지 않습니다. 대신 이 cmdlet은 Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role 개체의 인스턴스를 구성합니다.
예제
-------------------------- 예제 1 --------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -UserScopes @{Add="OU:ou=Portland,dc=litwareinc,dc=com"}
위 명령은 RBAC 역할 RedmondVoiceAdministrators의 UserScopes 속성에 새 OU(Portland)를 추가합니다. 이 작업을 수행하기 위해 명령은 UserScopes 매개 변수 및 @{Add="OU:ou=Portland,dc=litwareinc,dc=com"} 매개 변수 값을 포함합니다. 이 구문은 UserScopes 속성에 이미 있는 OU에 고유 이름이 "ou=Portland,dc=litwareinc,dc=com"인 OU를 추가합니다.
-------------------------- 예제 2 --------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -UserScopes @{Remove="OU:ou=Portland,dc=litwareinc,dc=com"}
예제 2에 표시된 명령은 RBAC 역할 RedmondVoiceAdministrators에서 Portland OU를 제거합니다. 이 작업을 수행하기 위해 명령은 UserScopes 매개 변수 및 @{Remove="OU:ou=Portland,dc=litwareinc,dc=com"} 매개 변수 값을 포함합니다. 이 구문은 UserScopes 속성에 이미 있는 OU 컬렉션에서 고유 이름이 "ou=Portland,dc=litwareinc,dc=com"인 OU를 삭제합니다.
-------------------------- 예제 3 --------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Add="site:Redmond"}
예제 3에서는 RBAC 역할 RedmondVoiceAdministrators의 ConfigScopes 속성에 SiteId가 Redmond인 새 사이트를 추가합니다. 이 작업을 수행하기 위해 명령은 ConfigScopes 매개 변수 및 @{Add="OU:ou=Portland,dc=litwareinc,dc=com"} 매개 변수 값을 포함합니다. 이 구문은 ConfigScopes 속성에 이미 있는 모든 항목에 Redmond 사이트를 추가합니다.
-------------------------- 예제 4 --------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Remove="siteRedmond"}
예제 4에 표시된 명령은 RBAC 역할 RedmondVoiceAdministrators에서 Redmond 사이트를 제거합니다. 이 작업을 수행하기 위해 명령은 ConfigScopes 매개 변수 및 @{Remove="site:Redmond"} 매개 변수 값을 포함합니다. 이 매개 변수는 ConfigScopes 속성에 이미 있는 항목 컬렉션에서 Redmond 사이트를 삭제합니다. Redmond 사이트가 ConfigScopes 속성에서 유일한 사이트인 경우 이 명령이 실패하게 됩니다. ConfigScopes 속성에서 유일한 사이트를 제거하는 경우 ConfigScopes의 모든 항목을 Global 속성으로 대체하는 다음과 유사한 명령을 사용해야 합니다.
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Replace="Global"}