Планирование контроля доступа на основе ролей в Lync Server 2013
Последнее изменение раздела: 2015-01-27
Чтобы делегировать административные задачи с сохранением высоких стандартов безопасности, Lync Server 2013 предлагает управление доступом на основе ролей (RBAC). С помощью RBAC права администратора предоставляются путем назначения пользователям административных ролей. Lync Server 2013 включает широкий набор встроенных административных ролей, а также позволяет создавать новые роли и указывать настраиваемый список командлетов для каждой новой роли. Также можно добавлять скрипты командлетов в разрешенные задачи как предварительно заданных, так и настраиваемых ролей RBAC.
Улучшенная безопасность и централизация сервера
При работе с RBAC доступ и авторизация основаны именно на роли пользователя Lync Server. Это позволяет использовать методику обеспечения безопасности с минимальными привилегиями, предоставив администраторам и пользователям только права, необходимые для их работы.
Важно
Ограничения RBAC работают только с администраторами, работающими удаленно, с помощью командной консоли Lync Server панель управления или Lync Server. Пользователь, размещенный на сервере под управлением Lync Server, не ограничен RBAC. Поэтому физическая безопасность Lync Server важна для сохранения ограничений RBAC.
Роли и область
В RBAC роль может использовать список командлетов, предназначенных для определенного типа администратора или технического специалиста. Область — это набор объектов, с которыми могут работать командлеты, определенные в роли. Объекты, на которые влияет область, могут быть либо учетные записи пользователей (сгруппированные по подразделению), либо серверы (сгруппированные по сайту).
В следующей таблице перечислены предопределенные роли в Lync Server и приводятся общие сведения о типах задач, которые может выполнять каждая из них. В четвертом столбце показана аналогичная Microsoft Exchange Server роли для каждой роли Lync Server, если она есть.
Предопределенные административные роли
| Должность | Разрешенные задачи | Базовая группа Active Directory | Эквивалент Exchange |
|---|---|---|---|
CsAdministrator |
Может выполнять все административные задачи и изменять все параметры, включая создание ролей и назначение пользователей ролям. Развертывание можно развернуть, добавив новые сайты, пулы и службы. |
CSAdministrator |
Управление организацией |
CsUserAdministrator |
Может включить и отключить пользователей для Lync Server, переместить пользователей и назначить им существующие политики. Не удается изменить политики. |
CSUserAdministrator |
Получатели почты |
CsVoiceAdministrator |
Может создавать, настраивать и управлять параметрами и политиками, связанными с голосовой связью. |
CSVoiceAdministrator |
Неприменимо |
CsServerAdministrator |
Может управлять серверами и службами, отслеживать и устранять неполадки. Может предотвращать новые подключения к серверам, останавливать и запускать службы, а также применять обновления программного обеспечения. Не удается внести изменения с влиянием глобальной конфигурации. |
CSServerAdministrator |
Управление серверами |
CsViewOnlyAdministrator |
Может просматривать развертывание, включая сведения о пользователе и сервере, для отслеживания работоспособности развертывания. |
CSViewOnlyAdministrator |
View-Only организации |
CsHelpDesk |
Может просматривать развертывание, включая свойства и политики пользователя. Может выполнять определенные задачи устранения неполадок. Не удается изменить свойства пользователя или политики, конфигурацию сервера или службы. |
CSHelpDesk |
Службы поддержки |
CsArchivingAdministrator |
Может изменять конфигурацию и политики архивации. |
CSArchivingAdministrator |
Управление хранением, удержание по юридическим причинам |
CsResponseGroupAdministrator |
Может управлять конфигурацией приложения группы ответа на сайте. |
CSResponseGroupAdministrator |
Неприменимо |
CsLocationAdministrator |
Минимальный уровень прав для расширенного управления 9-1-1 (E9-1-1), включая создание расположений E9-1-1 и сетевых идентификаторов и их связывание друг с другом. Эта роль всегда назначается с глобальной областью. |
CSLocationAdministrator |
Неприменимо |
CsResponseGroupManager |
Может управлять определенными группами ответов. |
CSResponseGroupManager |
Неприменимо |
CsPersistentChatAdministrator |
Может управлять функцией сохраняемого чата и определенными комнатами сохраняемого чата. |
CSPersistentChatAdministrator |
Неприменимо |
Все предопределенные роли, поставляемые в Lync Server, имеют глобальную область. Чтобы следовать минимальным привилегиям, не следует назначать пользователям роли с глобальной областью, если они будут администрировать только ограниченный набор серверов или пользователей. Для этого можно создавать роли, основанные на существующей роли, но с более ограниченной областью действия.
Создание роли с заданной областью
При создании роли с ограниченной областью действия (роль с заданной областью) необходимо указать область, а также существующую роль, на которую она основана, и группу Active Directory для назначения роли. Указанная группа Active Directory уже должна быть создана. Следующий командлет является примером создания роли, которая имеет привилегии одной из предварительно определенных административных ролей, но с ограниченной областью действия. Он создает новую роль с именем Site01 Server Administrators. Роль обладает возможностями предопределенной роли CsServerAdministrator, но только для серверов, расположенных на сайте Site01. Для работы этого командлета сайт Site01 должен быть уже определен, Site01 Server Administrators а универсальная группа безопасности с именем должна уже существовать.
New-CsAdminRole -Identity "Site01 Server Administrators" -Template CsServerAdministrator -ConfigScopes "site:Site01"
После выполнения этого командлета все пользователи, Site01 Server Administrators которые являются членами группы, будут иметь права администратора сервера для серверов в Site01. Кроме того, все пользователи, которые позже будут добавлены в эту универсальную группу безопасности, также получат привилегии этой роли. Обратите внимание, что вызываются как сама роль, так и универсальная группа безопасности, для которых она назначена Site01 Server Administrators.
В следующем примере ограничивается область пользователя, а не область сервера. Он создает роль для Sales Users Administrator администрирования учетных записей пользователей в подразделении Sales. Для работы этого командлета уже должна быть создана универсальная группа безопасности SalesUsersAdministrator.
New-CsAdminRole -Identity "Sales Users Administrator " -Template CsUserAdministrator -UserScopes "OU:OU=Sales, OU=Lync Tenants, DC=Domain, DC=com"
Создание новой роли
Чтобы создать роль, которая имеет доступ к набору командлетов, не в одной из предопределенных ролей, или к набору скриптов или модулей, вы снова начинаете с использования одной из предопределенных ролей в качестве шаблона. Обратите внимание, что скрипты и модули, которые должны быть доступны для выполнения ролей, должны храниться в следующих расположениях:
Путь модуля Lync, который по умолчанию — C:\Program Files\Common Files\Microsoft Lync Server 2013\Modules\Lync
Путь к скрипту пользователя, который по умолчанию — C:\Program Files\Common Files\Microsoft Lync Server 2013\AdminScripts
Чтобы создать новую роль, используйте командлет New-CsAdminRole . Перед запуском New-CsAdminRole необходимо сначала создать базовую универсальную группу безопасности, которая будет связана с этой ролью.
Следующие командлеты служат примером создания новой роли. Они создают новый тип роли с именем MyHelpDeskScriptRole. Новая роль обладает возможностями предопределенной роли CsHelpDesk и может дополнительно выполнять функции в скрипте с именем testscript.
New-CsAdminRole -Identity "MyHelpDeskScriptRole" -Template CsHelpDesk -ScriptModules @{Add="testScript.ps1"}
Для работы этого командлета необходимо сначала создать универсальную группу безопасности MyHelpDeskScriptRole.
После выполнения этого командлета можно назначить пользователей непосредственно этой роли (в этом случае они имеют глобальную область) или создать роль с заданной областью на основе этой роли, как описано в разделе "Создание роли с заданной областью" ранее в этом документе.
Назначение ролей пользователям
Каждая роль Lync Server связана с базовой универсальной группой безопасности Active Directory. Все пользователи, добавленные в базовую группу, получают возможности этой роли.
Примеры в предыдущих разделах создавали новую роль и назначали новую роль существующей универсальной группе безопасности. Чтобы назначить существующую роль одному или нескольким пользователям, добавьте этих пользователей в группу, связанную с ролью. В эти группы можно добавлять как отдельных пользователей, так и универсальные группы безопасности.
Например, роль CsAdministrator автоматически предоставляется универсальной группе безопасности "Администраторы CS " в Active Directory. Эта универсальная группа безопасности создается в Active Directory при развертывании Lync Server. Чтобы предоставить пользователю или группе эту привилегию, вы можете просто добавить их в группу " Администраторы CS ".
Пользователю может быть предоставлено несколько ролей RBAC путем добавления в базовые группы Active Directory, соответствующие каждой роли.
Обратите внимание, что при создании роли ее возможности получают пользователи, которые позже добавляются в базовую группу Active Directory.
Изменение возможностей роли
Вы можете изменить список командлетов и сценариев, которые может выполнять роль. Вы можете изменять как командлеты, так и скрипты, которые могут выполнять пользовательские роли, но можно изменять только скрипты для предопределенных ролей. Каждый типизированный командлет может добавлять, удалять или заменять командлеты или скрипты.
Чтобы изменить роль, используйте командлет Set-CsAdminRole . Следующий командлет удаляет один скрипт из роли.
Set-CsAdminRole -Identity "MyHelpDeskScriptRole" -ScriptModules @{Remove="testScript.ps1"}
Планирование RBAC
Для каждого пользователя, которому будут предоставлены любые права администратора для развертывания Lync Server, определите, какие задачи ему нужно выполнить, а затем назначьте их ролям с минимальными привилегиями и областью, необходимыми для его работы. При необходимости можно использовать командлет Set-CsAdminRole , чтобы создать роль только с командлетами, необходимыми для задач этого пользователя.
Пользователи с ролью CsAdministrator могут создавать все типы ролей, включая роли на основе CsAdministrator, и назначать им пользователей. Рекомендуется назначить роль CsAdministrator очень небольшому набору доверенных пользователей.