Remove-CsAdminRole

Skype for Business Server 2015
 

Дата изменения раздела:2017-03-28

Удаляет существующую роль управления доступом на основе ролей (RBAC). Роли управления доступом на основе ролей служат для определения задач управления, которые разрешено выполнять пользователям, и областей действия этих задач. Данный командлет впервые появился в Lync Server 2010.

Remove-CsAdminRole -Identity <String> <COMMON PARAMETERS>
Remove-CsAdminRole -Sid <String> <COMMON PARAMETERS>
Remove-CsAdminRole [-Filter <String>] <COMMON PARAMETERS>
COMMON PARAMETERS: [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]

Команда, показанная в примере 1, удаляет роль RBAC с идентификатором RedmondHelpDesk.

Remove-CsAdminRole -Identity "RedmondHelpDesk"

В примере 2 удаляются все роли RBAC, в идентификаторах которых имеется строка "Redmond".

Remove-CsAdminRole -Filter "*Redmond*"

Команда в примере 3 удаляет все настраиваемые роли RBAC, созданные для использования в организации. Для этого команда сначала вызывает командлет Get-CsAdminRole без параметров, который возвращает коллекцию ролей RBAC. Эта коллекция затем передается в командлет Where-Object , который выбирает только те роли, свойство IsStandardRole которых имеет значение False. В соответствии с определением любая роль, отвечающая этому условию, является настраиваемой. В свою очередь, эти настраиваемые роли передаются в командлет Remove-CsAdminRole , который удаляет их.

Get-CsAdminRole | Where-Object {$_.IsStandardRole -eq $False} | Remove-CsAdminRole

Управление доступом на основе ролей позволяет администраторам делегировать определенные задачи управления в Skype для бизнеса Server 2015. Например, специалистам службы поддержки в организации можно предоставить не полные права администратора, а только некоторые: право на управление учетными записями пользователей, право на управление компонентами корпоративной голосовой связи и право на управление архивацией и сервером архивации. Кроме того, можно ограничить область действия этих прав: предоставить право на управление корпоративной голосовой связью, но только в одном из филиалов, или право на управление учетными записями пользователей, но только относящимися к финансовому подразделению.

Реализация управления доступом на основе ролей в Skype для бизнеса Server 2015 основана на двух ключевых элементах: группах безопасности Active Directory и командлетах Windows PowerShell. При установке Skype для бизнеса Server 2015 создается ряд универсальных групп безопасности, таких как CsAdministrator, CsArchivingAdministrator и CsViewOnlyAdministrator. Эти универсальные группы безопасности имеют взаимно-однозначное соответствие с ролями RBAC. Это означает, что пользователь, входящий в группу CsArchivingAdministrator, имеет все права, предоставленные роли RBAC CsArchivingAdministrator. В свою очередь, права, предоставленные роли RBAC, зависят от назначенных ей командлетов (один командлет можно назначить нескольким ролям RBAC). Например, предположим, что роли назначены следующие командлеты:

Get-ArchivingPolicy

Grant-ArchivingPolicy

New-ArchivingPolicy

Remove-ArchivingPolicy

Set-ArchivingPolicy

Get-ArchivingConfiguration

New-ArchivingConfiguration

Remove-ArchivingConfiguration

Set-ArchivingConfiguration

Get-CsUser

Export-CsArchivingData

Get-CsComputer

Get-CsPool

Get-CsService

Get-CsSite

В приведенном выше списке представлены все командлеты, которые пользователь, которому назначена гипотетическая роль RBAC, может выполнять в рамках удаленного сеанса интерфейса командной строки Windows PowerShell. Если пользователь попытается выполнить командлет Disable-CsUser , ему это не удастся, поскольку пользователи, которым назначена данная гипотетическая роль, не имеют права на выполнение командлета Disable-CsUser . Этот также относится и к панели Панель управления Skype для бизнеса Server. Например, администратору архивации не удастся отключить пользователя, используя панель Панель управления Skype для бизнеса Server, поскольку роли RBAC распространяются на панель Панель управления Skype для бизнеса Server. (При каждом выполнении команды в панели Панель управления Skype для бизнеса Server на самом деле вызывается командлет Windows PowerShell.) Если пользователю не разрешено выполнять командлет Disable-CsUser , то вне зависимости от того, вызывается ли он непосредственно из Windows PowerShell или опосредованным путем из панели Панель управления Skype для бизнеса Server, команду выполнить не удастся.)

Обратите внимание на то, что управление доступом на основе ролей применяется только при удаленном управлении. Если вы войдете в систему на компьютере, на котором работает сервер Skype для бизнеса Server 2015, и откроете Консоль управления Lync Server, роли RBAC применяться не будут. В этом случае правила безопасности реализуются в первую очередь посредством групп безопасности RTCUniversalServerAdmins, RTCUniversalUserAdmins и RTCUniversalReadOnlyAdmins.

При установке Skype для бизнеса Server 2015 программа установки создает несколько встроенных ролей RBAC, которые охватывают основные задачи администрирования, такие как администрирование голосовой связи, управление пользователями и администрирование групп ответа. Изменить эти встроенные роли нельзя: вы не можете добавлять в них командлеты, удалять командлеты, а также сами роли. (При попытке удалить встроенную роль появляется сообщение об ошибке.) Однако с помощью встроенных ролей можно создавать настраиваемые роли RBAC. Настраиваемые роли затем можно редактировать, изменяя области администрирования. Например, можно ограничить роль задачей управления учетными записями пользователей в определенном подразделении Active Directory.

Созданные настраиваемые роли можно удалить с помощью командлета Remove-CsAdminRole . Обратите внимание на то, что командлет Remove-CsAdminRole не удаляет группу безопасности Active Directory, соответствующую настраиваемой роли, а также назначенных этой группе членов. Командлет просто запрещает делегирование управления сервером Skype для бизнеса Server 2015 данной настраиваемой роли.

При удалении роли RBAC Windows PowerShell выводит подтверждение на ее удаление. Если вы не подтвердите удаление (нажав кнопку "Да"), роль не будет удалена. Чтобы запросы на подтверждение не появлялись, используйте параметр Confirm со значением $False.

Remove-CsAdminRole RedmondAdministrators –Confirm:$False

Пользователи, которые могут выполнять командлет. По умолчанию право на локальное выполнение командлета Remove-CsAdminRole имеют члены следующих групп: RTCUniversalServerAdmins. Чтобы получить список всех ролей управления доступом на основе ролей (RBAC), которым назначен этот командлет (включая настраиваемые роли RBAC, созданные самостоятельно), выполните в командной строке Windows PowerShell следующую команду.

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsAdminRole"}

 

Параметр Обязательный Тип Описание

Identity

Да

System.String

Уникальный идентификатор роли RBAC, которую необходимо удалить. Идентификатор роли RBAC должен совпадать со значением свойства SamAccountName, присвоенным универсальной группе безопасности Active Directory, которая связана с этой ролью. Например, роль "Служба поддержки" имеет идентификатор CsHelpDesk; и аналогичное значение имеет свойство SamAccountName группы безопасности Active Directory, связанной с этой ролью.

Sid

Да

System.String

Позволяет указать подлежащую удалению роль RBAC с помощью идентификатора безопасности (SID). Идентификаторы SID назначаются сервером Skype для бизнеса Server 2015 при создании ролей RBAC и имеют следующий вид: S-1-5-21-1573807623-1597889489-1765977225-1145. Идентификатор SID для определенной роли RBAC можно получить с помощью командлета Get-CsAdminRole .

Confirm

Нет

System.Management.Automation.SwitchParameter

Позволяет подавить запрос на подтверждение, появляющийся при попытке удалить роль RBAC. Чтобы подавить предупреждение, включите параметр Confirm со значением $False:

Remove-CsAdminRole RedmondAdministrators –Confirm:$False

Filter

Нет

System.String

Позволяет использовать подстановочные знаки для указания настраиваемых ролей RBAC, которые необходимо удалить. Например, чтобы удалить все настраиваемые роли, в идентификаторы которых входит строка "Redmond", используйте следующий синтаксис: -Filter "*Redmond*".

Force

Нет

System.Management.Automation.SwitchParameter

Подавляет сообщения о некритических ошибках, которые могут происходить при выполнении команды.

WhatIf

Нет

System.Management.Automation.SwitchParameter

Описывает, что произойдет при выполнении команды без реального выполнения команды.

Объект Microsoft.Rtc.Management.ADConnect.Schema.ADUser. Командлет Remove-CsAdminRole принимает входные данные из конвейера в виде объектов пользователей.

Командлет Remove-CsAdminRole удаляет существующие экземпляры объекта Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role.

 
Показ: