Set-CsAdminRole

Skype for Business Server 2015
 

Дата изменения раздела:2017-03-28

Изменяет существующую роль управления доступом на основе ролей (RBAC). Роли управления доступом на основе ролей используются для определения задач управления, которые могут выполнять пользователи, и для определения областей, в которых можно выполнять эти задачи. Данный командлет впервые появился в Lync Server 2010.

Set-CsAdminRole -Identity <String> [-Cmdlets <PSListModifier>] [-ConfigScopes <PSListModifier>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-ScriptModules <PSListModifier>] [-UserScopes <PSListModifier>] [-WhatIf [<SwitchParameter>]]

В примере 1 к свойству UserScopes роли RBAC RedmondVoiceAdministrators добавляется новое подразделение (Portland). При этом команда включает параметр UserScopes и следующее значение параметра: @{Add="OU:ou=Portland,dc=litwareinc,dc=com"}. Этот синтаксис добавляет подразделение с отличительным именем "ou=Portland,dc=litwareinc,dc=com" к подразделениям, уже добавленным в свойство UserScopes.

Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -UserScopes @{Add="OU:ou=Portland,dc=litwareinc,dc=com"}

Команда, представленная в примере 2, удаляет подразделение Portland из роли RBAC RedmondVoiceAdministrators. При этом команда включает параметр UserScopes и следующее значение параметра: @{Remove="OU:ou=Portland,dc=litwareinc,dc=com"}. Этот синтаксис удаляет подразделение с отличительным именем "ou=Portland,dc=litwareinc,dc=com" из набора подразделений, уже добавленных в свойство UserScopes.

Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -UserScopes @{Remove="OU:ou=Portland,dc=litwareinc,dc=com"}

В примере 3 новый сайт (с идентификатором SiteID Redmond) добавляется в свойство ConfigScopes для роли RBAC RedmondVoiceAdministrators. При этом команда включает параметр ConfigScopes и следующее значение параметра: @{Add="OU:ou=Portland,dc=litwareinc,dc=com"}. Этот синтаксис добавляет сайт Redmond в список объектов, уже добавленных в свойство ConfigScopes.

Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Add="site:Redmond"}

Команда, представленная в примере 4, удаляет сайт Redmond из роли RBAC RedmondVoiceAdministrators. При этом команда включает параметр ConfigScopes и следующее значение параметра: @{Remove="site:Redmond"}. Этот параметр удаляет сайт Redmond из набора объектов, уже добавленных в свойство ConfigScopes. Обратите внимание, что, если сайт Redmond является единственным сайтом в свойстве ConfigScopes, то при выполнении этой команды произойдет сбой. Если вы удаляете единственный сайт в свойстве ConfigScopes, вы должны использовать команду, аналогичную следующей, которая заменяет все объекты в ConfigScopes со свойством Global:

Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Replace="Global"}

Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Remove="site:Redmond"}

Управление доступом на основе ролей (RBAC) позволяет администраторам делегировать выполнение конкретных задач управления в Skype для бизнеса Server 2015. Например, вместо предоставления службе поддержки организации полных административных привилегий можно предоставить этим сотрудникам конкретные права, такие как право на управление только учетными записями, право на управление только компонентами Enterprise Voice и право на управление только архивированием и сервером архивации. Кроме того, эти права могут быть ограничены в отношении области использования: кому-то можно предоставить право на управление Enterprise Voice, но только на сайте Redmond, а кому-то другому можно предоставить право на управление пользователями, но только если эти учетные записи относятся к финансовому подразделению.

Реализация Skype для бизнеса Server 2015 управления RBAC основывается на двух ключевых элементах: группы безопасности Active Directory и командлеты Windows PowerShell. При установке Skype для бизнеса Server 2015 создается ряд универсальных групп безопасности, таких как CsAdministrator, CsArchivingAdministrator и CsViewOnlyAdministrator. Эти универсальные группы безопасности обладают взаимно-однозначным соответствие с ролями RBAC, а это означает, что любой пользователь, который входит в группу безопасности CsArchivingAdministrator, обладает всеми правами, предоставляемыми роли безопасности RBAC CsArchivingAdministrator. В свою очередь, права, предоставляемы роли RBAC, основаны на командлетах, назначенных этой роли (командлеты можно назначить нескольким ролям RBAC). Например, предположим, что роли были назначены следующим командлетам:

Get-ArchivingPolicy

Grant-ArchivingPolicy

New-ArchivingPolicy

Remove-ArchivingPolicy

Set-ArchivingPolicy

Get-ArchivingConfiguration

New-ArchivingConfiguration

Remove-ArchivingConfiguration

Set-ArchivingConfiguration

Get-CsUser

Export-CsArchivingData

Get-CsComputer

Get-CsPool

Get-CsService

Get-CsSite

Предыдущий список включает только те командлеты, которые пользователь с назначенной гипотетической ролью RBAC может запускать в удаленном сеансе командной строки Windows PowerShell. Если пользователь пытается выполнить командлет Disable-CsUser , произойдет сбой этой команды, так как пользователи с назначенной гипотетической ролью не имеют права на выполнение командлета Disable-CsUser . Это также относится к панели Панель управления Skype для бизнеса Server. Например, администратор архивации не может заблокировать пользователя с помощью панели Панель управления Skype для бизнеса Server, поскольку панель Панель управления Skype для бизнеса Server подчиняется ролям RBAC. (Всегда, когда вы выполняете команду в панели Панель управления Skype для бизнеса Server, вы в действительности вызываете командлет Windows PowerShell.) При отсутствии прав на выполнение командлета Disable-CsUser , не имеет никакого значения, запускаете ли в данный командлет напрямую из удаленного сеанса Windows PowerShell или опосредованно из панели Панель управления Skype для бизнеса Server; в любом случае происходит сбой команды.

Обратите внимание, что управление доступом на основе ролей (RBAC) применяется только для удаленного управления. Если вы выполнили вход на компьютер, на котором запущен Skype для бизнеса Server 2015, и открыли Консоль управления Lync Server, не требуется обязательное использование ролей RBAC. Вместо них безопасность обеспечивается, в основном, с помощью следующих групп безопасности: RTCUniversalServerAdmins, RTCUniversalUserAdmins и RTCUniversalReadOnlyAdmins.

При установке Skype для бизнеса Server 2015 программа установки создает несколько встроенных ролей RBAC. Эти роли охватывают общие области администрирования, такие как голосовое управление, управление пользователями и управление группой ответа. Эти встроенные роли нельзя изменять каким-либо образом: вы не можете добавить командлеты к ролям или удалить их из ролей; удаление ролей также невозможно. (Любая попытка удаления встроенной роли приведет к появлению сообщения об ошибке.) Однако можно использовать встроенные роли для создания пользовательских ролей RBAC. Эти пользовательские роли затем можно изменить путем изменения областей администрирования. Например, можно ограничить роль управлением учетными записями пользователей в определенном подразделении Active Directory.

Любая создаваемая пользовательская роль должна основываться на шаблоне — на существующей роли RBAC. Например, для создания роли администратора конференц-связи с телефонным подключением необходимо выполнить эффективное клонирование существующей роли RBAC (например, роль администратора конференц-связи с телефонным подключением можно создать на основе существующей роли администратора голосовой связи). После создания пользовательской роли можно использовать командлет Set-CsAdminRole для изменения свойство этой новой роли.

По умолчанию право на локальное выполнение командлета Set-CsAdminRole cmdlet имеют члены группы RTCUniversalServerAdmins. Чтобы получить список всех ролей управления доступом на основе ролей (RBAC), которым назначен этот командлет (включая все самостоятельно созданные роли RBAC), выполните в командной строке Windows PowerShell следующую команду:

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsAdminRole"}

 

Параметр Обязательный? Тип Описание

Identity

Обязательный

System.String

Уникальный идентификатор изменяемой роли RBAC. Удостоверение Identity для роли RBAC должен соответствовать имени SamAccountName универсальной группы безопасности Active Directory, связанной с данной ролью. Например, удостоверение Identity роли службы поддержки — CsHelpDesk; CsHelpDesk также является именем SamAccountName группы безопасности Active Directory, связанной с этой ролью.

Cmdlets

Необязательный

System.Management.Automation.PSListModifier

Позволяет указать командлеты, которые будут доступны пользователям, обладающим ролью RBAC. Например, для предоставления доступа только к одному командлету ( Export-CsArchivingData ) используйте синтаксис, аналогичный следующему:

-Cmdlets "Export-CsArchivingData"

Предыдущий синтаксис заменяет все элементы, в настоящее время сохраненные в свойстве Cmdlets с один объектом Export-CsArchivingData. Если необходимо добавить командлет Export-CsArchivingData к командлетам, уже сохраненным в данном свойстве, используйте вместо этого следующий синтаксис:

-Cmdlets @{Add="Export-CsArchivingData"}

Можно добавить несколько командлетов, разделив их имена с помощью запятой:

-Cmdlets @{Add="Export-CsArchivingData","Invoke-CsArchivingDatabasePurge"}

Для удаление командлета из роли используйте следующий синтаксис:

-Cmdlets @{Remove="Export-CsArchivingData"}

ConfigScopes

Необязательный

System.Management.Automation.PSListModifier

Ограничивает область действия командлета параметрами конфигурации определенным сайтом. Для ограничения области действия командлета определенным сайтом используйте синтаксис, аналогичный следующему: -ConfigScopes site:Redmond. Можно указать несколько сайтов в виде списка сайтов, разделенных запятыми: -ConfigScopes "site:Redmond, "site:Dublin". Можно также задать значение "global" для свойства ConfigScopes.

При назначении значения параметру ConfigScopes необходимо использовать префикс "site:" с последующим значением свойства SiteId сайта; идентификатор SiteId не обязательно является тем же значением, что удостоверение сайта Identity или отображаемое имя сайта DisplayName. Чтобы определить идентификатор SiteId для данного сайта можно использовать команду, аналогичную следующей:

Get-CsSite "Redmond" | Select-Object SiteId

Следует указать значения для свойства ConfigScopes и UserScopes (или для них обоих).

Confirm

Необязательный

System.Management.Automation.SwitchParameter

Запрашивает подтверждение перед выполнением команды.

Force

Необязательный

System.Management.Automation.SwitchParameter

Подавляет отображение любых сообщений о некритических ошибках, которые могут возникать при выполнении этой команды.

ScriptModules

Необязательный

System.Management.Automation.PSListModifier

Позволяет указать функцию в рамках скрипта Windows PowerShell, которая затем будет предоставляться пользователям, обладающим новой ролью RBAC. Например, этот синтаксис предоставляет доступ к функции с именем Reset в сценарии UpdateDatabase.ps1:

-ScriptCmdlets "UpdateDatabase.ps1:Reset"

Предыдущая команда заменяет любые скрипты, в настоящее время хранящиеся в свойстве ScriptCmdlets с функцией Reset, и сценарий UpdateDatabase.ps1. Чтобы добавить этот сценарий/функцию к объектам, которые в настоящее время хранятся в свойстве ScriptCmdlets, используйте следующий синтаксис:

-ScriptCmdlets @{Add="UpdateDatabase.ps1:Reset"}

Чтобы удалить скрипт/функцию, используйте следующий синтаксис:

-ScriptCmdlets @{Add="UpdateDatabase.ps1:Reset"}

Можно удалить все командлеты ScriptCmdlets, назначенные роли, с помощью следующего синтаксиса:

-ScriptCmdlets $Null

UserScopes

Необязательный

System.Management.Automation.PSListModifier

Ограничение области действия командлета действиями по управлению пользователями в рамках определенного подразделения. Для ограничения области действия командлета одним подразделением, используйте синтаксис, аналогичный следующему: -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com". Можно указать несколько подразделений с помощью списка, разделенного запятыми: -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com", "OU:ou=Dublin,dc=litwareinc,dc=com". Для добавления новых областей (или удаления существующих областей) к роли используйте синтаксис модификаторов списка Windows PowerShell. Для получения дополнительных сведений см. раздел "Примеры" данного раздела справки.

Следует указать значения для свойства ConfigScopes и UserScopes (или для них обоих).

WhatIf

Необязательный

System.Management.Automation.SwitchParameter

Описывает, что произойдет при выполнении команды без реального выполнения команды.

Командлет Set-CsAdminRole не возвращает значение или объект. Вместо этого командлет настраивает экземпляры объекта Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role.

 
Показ: