Delegieren der administrativen Steuerung von Lync Server 2013
Letzte Änderung: 22.02.2013
In Lync Server 2013 werden administrative Aufgaben mithilfe des neuen Rollenbasierten Zugriffssteuerungsfeatures (Role-Based Access Control, RBAC) an Benutzer delegiert. Wenn Sie Lync Server installieren, werden eine Reihe von RBAC-Rollen für Sie erstellt. Diese Rollen entsprechen den allgemeinen Sicherheitsgruppen in den Active Directory-Domänendiensten. Beispielsweise entspricht die RBAC-Rolle "CsHelpDesk" der Gruppe "CsHelpDesk", die sich im Container "Benutzer" in Active Directory Domain Services befindet. Darüber hinaus ist jede RBAC-Rolle einem Satz von Lync Server-Windows PowerShell-Cmdlets zugeordnet. Diese Cmdlets stellen die Aufgaben dar, die von Benutzern ausgeführt werden können, denen die angegebene RBAC-Rolle zugewiesen wurde. Beispielsweise wurde der Rolle "CsHelpDesk" die Cmdlets Lock-CsClientPin und UnlockCsClientPin zugewiesen. Das bedeutet, dass Benutzer, denen die CsHelpDesk-Rolle zugewiesen wurde, Benutzer-PIN-Nummern sperren und entsperren können. Der Rolle "CsHelpDesk" wurde jedoch nicht das cmdlet New-CsVoicePolicy zugewiesen. Das bedeutet, dass Benutzer, denen die CsHelpDesk-Rolle zugewiesen wurde, keine neuen VoIP-Richtlinien erstellen können.
Anzeigen von Informationen zu RBAC-Rollen
Sie können grundlegende Informationen zu Ihren RBAC-Rollen abrufen, indem Sie den folgenden Befehl in der Lync Server-Verwaltungsshell ausführen:
Get-CsAdminRole
Beachten Sie, dass die Identität der RBAC-Rolle (z. B. CsVoiceAdministrator) eine direkte Zuordnung zu einer Sicherheitsgruppe aufweist, die sich im Container "Benutzer" in Active Directory Domain Services befindet.
Verwenden Sie einen Befehl wie den folgenden, um eine Liste der Cmdlets anzuzeigen, die einer Rolle zugewiesen wurden:
Get-CsAdminRole -Identity "CsHelpDesk" | Select-Object -ExpandProperty Cmdlets
Zuweisen einer RBAC-Rolle zu einem Benutzer
Um einem Benutzer eine RBAC-Rolle zuzuweisen, müssen Sie diesen Benutzer der entsprechenden Active Directory-Sicherheitsgruppe hinzufügen. Wenn Sie beispielsweise die Rolle "CsLocationAdministrator" einem Benutzer zuweisen möchten, müssen Sie diesen Benutzer der Gruppe "CsLocationAdministrator" hinzufügen. Dazu führen Sie das folgende Verfahren aus:
So weisen Sie einen Benutzer einer Sicherheitsgruppe zu
Melden Sie sich mit einem Konto, das über die Berechtigung zum Ändern der Mitgliedschaft einer Active Directory-Gruppe verfügt, an einem Computer an, auf dem Active Directory-Benutzer und -Computer installiert wurde.
Klicken Sie auf "Start", dann auf "Alle Programme", dann auf "Verwaltungstools" und dann auf Active Directory-Benutzer und -Computer.
Erweitern Sie in Active Directory-Benutzer und -Computer den Namen Ihrer Domäne, und klicken Sie auf den Container "Benutzer".
Klicken Sie mit der rechten Maustaste auf die Sicherheitsgruppe "CsLocationAdministrator", und klicken Sie dann auf "Eigenschaften".
Klicken Sie im Dialogfeld "Eigenschaften " auf der Registerkarte " Mitglieder " auf "Hinzufügen".
Geben Sie im Dialogfeld "Benutzer, Computer, Kontakte oder Gruppen auswählen " den Benutzernamen oder Anzeigenamen des Benutzers ein, der der Gruppe hinzugefügt werden soll (z. B. Ken Myer), geben Sie die zu markierenden Objektnamen ein , und klicken Sie dann auf "OK".
Klicken Sie im Dialogfeld "Eigenschaften " auf "OK".
Um zu überprüfen, ob die RBAC-Rolle zugewiesen wurde, verwenden Sie das Cmdlet "Get-CsAdminRoleAssignment ", und übergeben Sie das Cmdlet an den SamAccountName (Active Directory-Anmeldenamen) des Benutzers. Führen Sie z. B. diesen Befehl in der Lync Server-Verwaltungsshell aus:
Get-CsAdminRoleAssignment -Identity "kenmyer"