Planen für die rollenbasierte Zugriffssteuerung in Lync Server 2013
Thema Letzte Änderung: 27.01.2015
Damit Sie administrative Aufgaben delegieren und gleichzeitig hohe Sicherheitsstandards einhalten können, bietet Lync Server 2013 rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). Mit RBAC werden Administratorrechte gewährt, indem Benutzern Administratorrollen zugewiesen werden. Lync Server 2013 enthält einen umfangreichen Satz integrierter Administratorrollen und ermöglicht es Ihnen, neue Rollen zu erstellen und eine benutzerdefinierte Liste von Cmdlets für jede neue Rolle anzugeben. Sie können auch Skripts von Cmdlets zu den zulässigen Aufgaben von vordefinierten und benutzerdefinierten RBAC-Rollen hinzufügen.
Bessere Serversicherheit und Zentralisierung
Mit RBAC basiert der Zugriff und die Autorisierung genau auf der Lync Server-Rolle eines Benutzers. Dies ermöglicht die Verwendung der Sicherheitspraxis der "geringsten Rechte", sodass Administratoren und Benutzern nur die Rechte gewährt werden, die für ihre Aufgabe erforderlich sind.
Wichtig
RBAC-Einschränkungen funktionieren nur für Administratoren, die remote arbeiten und entweder die Lync Server Systemsteuerung oder die Lync Server-Verwaltungsshell verwenden. Ein Benutzer, der sich auf einem Server mit Lync Server befindet, ist nicht durch RBAC eingeschränkt. Daher ist die physische Sicherheit Ihres Lync-Servers wichtig, um RBAC-Einschränkungen beizubehalten.
Rollen und Bereich
In RBAC ist eine Rolle für die Verwendung einer Liste von Cmdlets aktiviert, die für einen bestimmten Administrator- oder Technikertyp nützlich sein soll. Ein Bereich ist die Gruppe von Objekten, auf denen die in einer Rolle definierten Cmdlets ausgeführt werden können. Die Objekte, auf die sich der Bereich auswirkt, können entweder Benutzerkonten (gruppiert nach Organisationseinheit) oder Server (nach Standort gruppiert) sein.
In der folgenden Tabelle sind die vordefinierten Rollen in Lync Server aufgeführt und eine allgemeine Übersicht über die Aufgabentypen, die jeweils ausgeführt werden können. In der vierten Spalte wird die ähnliche Microsoft Exchange Server Rolle für jede Lync Server-Rolle angezeigt, sofern vorhanden.
Vordefinierte Administrative Rollen
| Rolle | Zulässige Aufgaben | Zugrunde liegende Active Directory-Gruppe | Exchange-Entsprechung |
|---|---|---|---|
CsAdministrator |
Kann alle administrativen Aufgaben ausführen und alle Einstellungen ändern, einschließlich der Erstellung von Rollen und dem Zuweisen von Benutzern zu Rollen. Kann eine Bereitstellung erweitern, indem neue Websites, Pools und Dienste hinzugefügt werden. |
CSAdministrator |
Organisationsverwaltung |
CsUserAdministrator |
Kann Benutzer für Lync Server aktivieren und deaktivieren, Benutzer verschieben und benutzern vorhandene Richtlinien zuweisen. Richtlinien können nicht geändert werden. |
CSUserAdministrator |
E-Mail-Empfänger |
CsVoiceAdministrator |
Kann sprachbezogene Einstellungen und Richtlinien erstellen, konfigurieren und verwalten. |
CSVoiceAdministrator |
Nicht zutreffend |
CsServerAdministrator |
Kann Server und Dienste verwalten, überwachen und Problembehandlungen ausführen. Kann neue Verbindungen mit Servern verhindern, Dienste beenden und starten und Softwareupdates anwenden. Änderungen mit auswirkungen auf die globale Konfiguration können nicht vorgenommen werden. |
CSServerAdministrator |
Serververwaltung |
CsViewOnlyAdministrator |
Kann die Bereitstellung einschließlich Benutzer- und Serverinformationen anzeigen, um den Integritätsstatus der Bereitstellung zu überwachen. |
CSViewOnlyAdministrator |
View-Only Organisationsverwaltung |
CsHelpDesk |
Kann die Bereitstellung anzeigen, einschließlich der Eigenschaften und Richtlinien des Benutzers. Kann bestimmte Problembehandlungsaufgaben ausführen. Benutzereigenschaften oder -richtlinien, Serverkonfiguration oder Dienste können nicht geändert werden. |
CSHelpDesk |
HelpDesk |
CsArchivingAdministrator |
Kann die Archivierungskonfiguration und -richtlinien ändern. |
CSArchivingAdministrator |
Aufbewahrungsverwaltung, gesetzliche Aufbewahrungspflicht |
CsResponseGroupAdministrator |
Kann die Konfiguration der Reaktionsgruppenanwendung innerhalb eines Standorts verwalten. |
CSResponseGroupAdministrator |
Nicht zutreffend |
CsLocationAdministrator |
Niedrigste Rechtestufe für die erweiterte Verwaltung von 9-1-1 (E9-1-1), einschließlich der Erstellung von E9-1-1-Speicherorten und Netzwerkbezeichnern und deren Zuordnung zueinander. Diese Rolle wird immer einem globalen Bereich zugewiesen. |
CSLocationAdministrator |
Nicht zutreffend |
CsResponseGroupManager |
Kann bestimmte Reaktionsgruppen verwalten. |
CSResponseGroupManager |
Nicht zutreffend |
CsPersistentChatAdministrator |
Kann das Feature für beständigen Chat und bestimmte Chatrooms verwalten. |
CSPersistentChatAdministrator |
Nicht zutreffend |
Alle vordefinierten Rollen, die in Lync Server ausgeliefert werden, haben einen globalen Bereich. Um den Methoden für die geringsten Berechtigungen zu folgen, sollten Sie Benutzern keine Rollen mit globalem Bereich zuweisen, wenn sie nur eine begrenzte Gruppe von Servern oder Benutzern verwalten. Zu diesem Zweck können Sie Rollen erstellen, die auf einer vorhandenen Rolle basieren, jedoch mit einem eingeschränkten Bereich.
Erstellen einer bereichsbezogenen Rolle
Wenn Sie eine Rolle mit begrenztem Bereich (eine bereichsbezogene Rolle) erstellen, geben Sie den Bereich zusammen mit der vorhandenen Rolle an, auf der er basiert, und der Active Directory-Gruppe, der die Rolle zugewiesen werden soll. Die von Ihnen angegebene Active Directory-Gruppe muss bereits erstellt sein. Das folgende Cmdlet ist ein Beispiel für das Erstellen einer Rolle, die über die Berechtigungen einer der vordefinierten Administrativen Rollen, aber mit begrenztem Umfang verfügt. Es wird eine neue Rolle namens Site01 Server Administratorserstellt. Die Rolle hat die Fähigkeiten der vordefinierten CsServerAdministrator-Rolle, jedoch nur für die Server, die sich am Standort 01 befinden. Damit dieses Cmdlet funktioniert, muss die Site01-Website bereits definiert sein, und eine universelle Sicherheitsgruppe mit dem Namen Site01 Server Administrators muss bereits vorhanden sein.
New-CsAdminRole -Identity "Site01 Server Administrators" -Template CsServerAdministrator -ConfigScopes "site:Site01"
Nachdem dieses Cmdlet ausgeführt wurde, verfügen alle Benutzer, die Mitglieder der Site01 Server Administrators Gruppe sind, über Serveradministratorberechtigungen für die Server in Site01. Darüber hinaus erhalten alle Benutzer, die später dieser universellen Sicherheitsgruppe hinzugefügt werden, auch die Berechtigungen dieser Rolle. Beachten Sie, dass sowohl die Rolle selbst als auch die universelle Sicherheitsgruppe, der sie zugewiesen ist, aufgerufen Site01 Server Administratorswerden.
Im folgenden Beispiel wird der Benutzerbereich anstelle des Serverbereichs beschränkt. Es wird eine Sales Users Administrator Rolle zum Verwalten der Benutzerkonten in der Organisationseinheit "Vertrieb" erstellt. Die universelle Sicherheitsgruppe "SalesUsersAdministrator" muss bereits erstellt werden, damit dieses Cmdlet funktioniert.
New-CsAdminRole -Identity "Sales Users Administrator " -Template CsUserAdministrator -UserScopes "OU:OU=Sales, OU=Lync Tenants, DC=Domain, DC=com"
Erstellen einer neuen Rolle
Um eine Rolle zu erstellen, die Zugriff auf eine Gruppe von Cmdlets hat, die nicht in einer der vordefinierten Rollen enthalten sind, oder auf eine Reihe von Skripts oder Modulen, verwenden Sie erneut eine der vordefinierten Rollen als Vorlage. Beachten Sie, dass Skripts und Module, die rollenfähig sein sollen, an den folgenden Speicherorten gespeichert werden müssen:
Der Lync-Modulpfad, der standardmäßig "C:\Program Files\Common Files\Microsoft Lync Server 2013\Modules\Lync" lautet
Der Benutzerskriptpfad, der standardmäßig "C:\Programme\Allgemeine Dateien\Microsoft Lync Server 2013\AdminScripts" lautet
Um eine neue Rolle zu erstellen, verwenden Sie das Cmdlet "New-CsAdminRole ". Bevor Sie New-CsAdminRole ausführen, müssen Sie zuerst die zugrunde liegende universelle Sicherheitsgruppe erstellen, die dieser Rolle zugeordnet wird.
Die folgenden Cmdlets dienen als Beispiel für das Erstellen einer neuen Rolle. Sie erstellen einen neuen Rollentyp namens MyHelpDeskScriptRole. Die neue Rolle verfügt über die Fähigkeiten der vordefinierten CsHelpDesk-Rolle und kann die Funktionen zusätzlich in einem Skript mit dem Namen "testscript" ausführen.
New-CsAdminRole -Identity "MyHelpDeskScriptRole" -Template CsHelpDesk -ScriptModules @{Add="testScript.ps1"}
Damit dieses Cmdlet funktioniert, müssen Sie zuerst die universelle Sicherheitsgruppe MyHelpDeskScriptRole erstellt haben.
Nachdem dieses Cmdlet ausgeführt wurde, können Sie Benutzer dieser Rolle direkt zuweisen (in diesem Fall haben sie einen globalen Bereich) oder eine bereichsbezogene Rolle basierend auf dieser Rolle erstellen, wie in "Erstellen einer bereichsbezogenen Rolle" weiter oben in diesem Dokument erläutert.
Zuweisen von Rollen zu Benutzern
Jede Lync Server-Rolle ist einer zugrunde liegenden universellen Active Directory-Sicherheitsgruppe zugeordnet. Alle Benutzer, die Sie der zugrunde liegenden Gruppe hinzufügen, erhalten die Fähigkeiten dieser Rolle.
In den Beispielen in den vorherigen Abschnitten wurde eine neue Rolle erstellt und der neuen Rolle eine vorhandene universelle Sicherheitsgruppe zugewiesen. Wenn Sie einem oder mehreren Benutzern eine vorhandene Rolle zuweisen möchten, fügen Sie diese Benutzer der Gruppe hinzu, die der Rolle zugeordnet ist. Sie können diesen Gruppen sowohl einzelne Benutzer als auch universelle Sicherheitsgruppen hinzufügen.
Die Rolle "CsAdministrator " wird z. B. automatisch der universellen Sicherheitsgruppe " CS-Administratoren " in Active Directory gewährt. Diese universelle Sicherheitsgruppe wird in Active Directory erstellt, wenn Sie Lync Server bereitstellen. Um einem Benutzer oder einer Gruppe diese Berechtigung zu gewähren, können Sie sie einfach der Gruppe "CS-Administratoren " hinzufügen.
Einem Benutzer können mehrere RBAC-Rollen zugewiesen werden, indem er den zugrunde liegenden Active Directory-Gruppen hinzugefügt wird, die jeder Rolle entsprechen.
Beachten Sie, dass Benutzer, die später der zugrunde liegenden Active Directory-Gruppe hinzugefügt werden, beim Erstellen einer Rolle die Fähigkeiten dieser Rolle erhalten.
Ändern der Fähigkeiten einer Rolle
Sie können die Liste der Cmdlets und Skripts ändern, die eine Rolle ausführen kann. Sie können sowohl die Cmdlets als auch skripts ändern, die von benutzerdefinierten Rollen ausgeführt werden können, aber Sie können nur die Skripts für vordefinierte Rollen ändern. Jedes von Ihnen eingegebene Cmdlet kann Cmdlets oder Skripts hinzufügen, entfernen oder ersetzen.
Verwenden Sie zum Ändern einer Rolle das Cmdlet Set-CsAdminRole . Das folgende Cmdlet entfernt ein Skript aus der Rolle.
Set-CsAdminRole -Identity "MyHelpDeskScriptRole" -ScriptModules @{Remove="testScript.ps1"}
Planen von RBAC
Berücksichtigen Sie für jede Person, die administratorische Rechte für Ihre Lync Server-Bereitstellung erhalten soll, genau, welche Aufgaben sie ausführen müssen, und weisen Sie sie dann Rollen mit den geringsten Berechtigungen und dem für ihre Arbeit erforderlichen Umfang zu. Bei Bedarf können Sie das Cmdlet Set-CsAdminRole verwenden, um eine neue Rolle mit nur den cmdlets zu erstellen, die für die Aufgaben dieser Person erforderlich sind.
Benutzer mit der Rolle "CsAdministrator" können alle Arten von Rollen erstellen, einschließlich Rollen, die auf CsAdministrator basieren, und ihnen Benutzer zuweisen. Die bewährte Methode besteht darin, die CsAdministrator-Rolle einem sehr kleinen Satz vertrauenswürdiger Benutzer zuzuweisen.