Get-CsAdminRole

Skype for Business Server 2015
 

Дата изменения раздела:2017-03-28

Возвращает информацию о ролях управления доступом на основе ролей (RBAC), используемых в организации. Роли управления доступом на основе ролей используются для определения задач управления, которые могут выполнять пользователи, и для указания области, в которой эти задачи выполняются. Данный командлет впервые появился в Lync Server 2010.

Get-CsAdminRole [-Identity <String>] <COMMON PARAMETERS>
Get-CsAdminRole [-Sid <String>] <COMMON PARAMETERS>
Get-CsAdminRole [-Filter <String>] <COMMON PARAMETERS>
COMMON PARAMETERS: [-LocalStore <SwitchParameter>]

Команда, представленная в примере 1, возвращает информацию обо всех ролях RBAC, настроенных для использования в организации. Она выполняется путем вызова командлета Get-CsAdminRole без каких-либо параметров.

Get-CsAdminRole

В примере 2 возвращается одна роль RBAC: эта роль обладает удостоверением Identity CsHelpDesk.

Get-CsAdminRole -Identity "CsHelpDesk"

В примере 3 возвращаются все роли RBAC, в удостоверение Identity которых включен строковый параметр "Voice" (например, CsVoiceAdministrator; RedmondVoiceAdministrators). Для этого вызывается Get-CsAdminRole с параметром Filter; значение фильтра "*Voice*" ограничивает количество возвращаемых данных и позволяет выводить только роли RBAC, в удостоверение Identity которых включен строковый параметр "Voice".

Get-CsAdminRole -Filter "*Voice*"

В примере 4 возвращаются все пользовательские роли RBAC, созданные для использования в организации. Для выполнения этой задачи команда сначала использует командлет Get-CsAdminRole для возврата набора всех используемых в настоящий момент ролей RBAC. Этот набор затем передается в командлет Where-Object , который выбирает только те роли, для свойства IsStandardRole которых установлено значение False. По определению, любая роль, которая отвечает этому критерию, является пользовательской ролью RBAC.

Get-CsAdminRole | Where-Object {$_.IsStandardRole -eq $False}

Команда, представленная в примере 5, возвращает все роли RBAC, которые включают командлет Set-CsUser . Для этого команда сначала вызывает командлет Get-CsAdminRole без каких-либо параметров для возврата набора всех ролей RBAC в организации. Этот набор затем передается в командлет Where-Object , который отбирает любые роли, свойство Cmdlets которых включает строковый параметр "Set-CsUser\b". ("\b — это маркер объединения слов, который указывает на то, что "Set-CsUser" представляет собой целое строковое значение.)

Get-CsAdminRole | Where-Object {$_.Cmdlets -match "Set-CsUser\b"}

В примере 6 осуществляется возврат информации обо всех ролях RBAC, свойство UserScopes которых включает указанное значение OU (ou=Redmond, dc=litwareinc, dc=com). Для выполнения этой задачи команда сначала вызывает командлет Get-CsAdminRole для возврата набора всех ролей RBAC, настроенных для использования на данный момент. Этот набор затем передается на командлет Where-Object для выбора всех ролей, свойство UserScopes которых включает строковый параметр "OU:ou=Redmond,dc=litwareinc,dc=com".

Get-CsAdminRole | Where-Object {$_.UserScopes -match "OU: ou=Redmond,dc=litwareinc,dc=com"}

Команда, представленная в примере 7, возвращает список всех командлетов, включенных в роль CsVoiceAdministrator. Для этого команда сначала использует командлет Get-CsAdminRole для возврата всех свойств и значений свойств для CsVoiceAdministrator. Эта информация затем передается в командлет Select-Object , который использует параметр ExpandProperty для отображения всех объектов, содержащихся в свойстве Cmdlets.

Get-CsAdminRole -Identity "CsVoiceAdministrator" | Select-Object -ExpandProperty Cmdlets

Управление доступом на основе ролей (RBAC) позволяет администраторам делегировать выполнение конкретных задач управления в Skype для бизнеса Server 2015. Например, вместо предоставления службе поддержки организации полных административных привилегий, можно предоставить этим сотрудникам конкретные права, такие как право на управление только учетными записями, право на управление только компонентами Enterprise Voice и право на управление только архивированием и сервером архивации. Кроме того, эти права могут быть ограничены в отношении области использования: кому-то можно предоставить право на управление Enterprise Voice, но только на сайте Redmond, а кому-то другому можно предоставить право на управление пользователями, но только если эти учетные записи относятся к финансовому подразделению (OU).

Реализация Skype для бизнеса Server 2015 управления RBAC основывается на двух ключевых элементах: группах безопасности Active Directory и командлетах Windows PowerShell. При установке Skype для бизнеса Server 2015 создается ряд универсальных групп безопасности, таких как CsAdministrator, CsArchivingAdministrator и CsViewOnlyAdministrator. Эти универсальные группы безопасности обладают взаимно-однозначным соответствием с ролями RBAC, а это означает, что любой пользователь, который входит в группу безопасности CsArchivingAdministrator, обладает всеми правами, предоставляемыми роли безопасности RBAC CsArchivingAdministrator. В свою очередь, права, предоставляемые роли RBAC, основаны на командлетах, назначенных этой роли (командлеты можно назначить нескольким ролям RBAC). Например, предположим, что роли были назначены следующие командлеты:

Get-ArchivingPolicy

Grant-ArchivingPolicy

New-ArchivingPolicy

Remove-ArchivingPolicy

Set-ArchivingPolicy

Get-ArchivingConfiguration

New-ArchivingConfiguration

Remove-ArchivingConfiguration

Set-ArchivingConfiguration

Get-CsUser

Export-CsArchivingData

Get-CsComputer

Get-CsPool

Get-CsService

Get-CsSite

Предыдущий список включает только те командлеты, которые пользователь с назначенной гипотетической ролью RBAC может запускать в удаленном сеансе интерфейса командной строки Windows PowerShell. Если пользователь пытается выполнить командлет Disable-CsUser , произойдет сбой этой команды, так как пользователи с назначенной гипотетической ролью не имеют права на выполнение командлета Disable-CsUser . Это также относится к панели Панель управления Skype для бизнеса Server. Например, администратор архивации не может заблокировать пользователя с помощью панели Панель управления Skype для бизнеса Server, поскольку панель Панель управления Skype для бизнеса Server подчиняется ролям RBAC. (Всегда, когда вы выполняете команду в панели Панель управления Skype для бизнеса Server, вы в действительности вызываете командлет Windows PowerShell.) При отсутствии прав на выполнение командлета Disable-CsUser не имеет никакого значения, запускаете ли в данный командлет напрямую из удаленного сеанса Windows PowerShell или опосредованно из панели Панель управления Skype для бизнеса Server; в любом случае происходит сбой команды.

Обратите внимание, что управление доступом на основе ролей (RBAC) применяется только для удаленного управления. Если вы выполнили вход на компьютер, на котором запущен Skype для бизнеса Server 2015, и открыли Консоль управления Lync Server, не требуется обязательное использование ролей RBAC. Вместо них безопасность обеспечивается, в основном, с помощью следующих групп безопасности: RTCUniversalServerAdmins, RTCUniversalUserAdmins и RTCUniversalReadOnlyAdmins.

При установке Skype для бизнеса Server 2015, программа установки создает несколько встроенных ролей RBAC. Эти роли охватывают общие области администрирования, такие как голосовое управление, управление пользователями и управление группой ответа. Эти встроенные в роли нельзя изменять каким-либо образом: вы не можете добавить командлеты к ролям или удалить их из ролей; удаление ролей также невозможно. (Любая попытка удаления встроенной роли приведет к появлению сообщения об ошибке.) Однако можно использовать встроенные роли для создания пользовательских ролей RBAC. Эти пользовательские роли затем можно изменить путем изменения областей администрирования. Например, можно ограничить роль управлением учетными записями пользователей в определенном подразделении Active Directory.

Командлет Get-CsAdminRole возвращает сведения обо всех ролях RBAC, доступных для использования в организации.

Кто может выполнять этот командлет: по умолчанию члены следующих групп обладают правом на выполнение командлета Get-CsAdminRole на локальном уровне: RTCUniversalUserAdmins, RTCUniversalServerAdmins, RTCUniversalReadOnlyAdmins. Для возврата списка всех ролей RBAC этому командлету было назначено (включая любые созданные вами пользовательские роли RBAC) выполнение следующих команд из командной строки Windows PowerShell:

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Get-CsAdminRole\b"}

 

Параметр Обязательный Тип Описание

Filter

Необязательный

System.String

Позволяет использовать подстановочные знаки для указания возвращаемой роли (или ролей) RBAC. Например, чтобы вернуть все роли, удостоверение Identity которых включает строковый параметр "Redmond", можно использовать следующий синтаксис: -Filter "*Redmond*".

Identity

Необязательный

System.String

Уникальный идентификатор для возвращаемой роли RBAC. Удостоверение Identity для роли RBAC должен соответствовать имени SamAccountName универсальной группы безопасности Active Directory, связанной с данной ролью. Например, удостоверение Identity роли службы поддержки — CsHelpDesk; CsHelpDesk также является именем SamAccountName группы безопасности Active Directory, связанной с этой ролью.

LocalStore

Необязательный

System.Management.Automation.SwitchParameter

Получает данные RBAC из локальной реплики центрального хранилища управления, а не из самого центрального хранилища управления.

Sid

Необязательный

System.String

Позволяет использовать идентификатор безопасности (SID) для указания получаемой роли RBAC. Идентификаторы SID назначаются Skype для бизнеса Server 2015 при создании роли RBAC и имеют следующий вид: S-1-5-21-1573807623-1597889489-1765977225-1145.

Этот же идентификатор SID можно также найти в соответствующей группе безопасности Active Directory.

Командлет Get-CsAdminRole возвращает экземпляры объекта Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role.

 
Показ: