Remove-CsAdminRole
Letztes Änderungsdatum des Themas: 2012-03-26
Entfernt eine bestehende rollenbasierte Zugriffssteuerungsrolle. Mit rollenbasierten Zugriffssteuerungsrollen werden Verwaltungsaufgaben angegeben, die Benutzer ausführen können, und der Gültigkeitsbereich ermittelt, innerhalb dessen Benutzer diese Aufgaben ausführen dürfen.
Syntax
Remove-CsAdminRole -Identity <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Remove-CsAdminRole -Sid <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Remove-CsAdminRole [-Confirm [<SwitchParameter>]] [-Filter <String>] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Detaillierte Beschreibung
Die rollenbasierte Zugriffssteuerung ermöglicht es Administratoren, die Steuerung spezifischer Verwaltungsaufgaben in Microsoft Lync Server 2010 zu delegieren. Anstatt beispielsweise den Helpdeskmitarbeitern Ihrer Organisation vollständige Administratorrechte zu gewähren, können Sie diesen Mitarbeitern spezielle Rechte erteilen: das Recht zur ausschließlichen Verwaltung von Benutzerkonten, das Recht zur ausschließlichen Verwaltung von Enterprise-VoIP-Komponenten und das Recht zur ausschließlichen Verwaltung von Archivierung und Archivierungsserver. Darüber hinaus können Sie den Gültigkeitsbereich dieser Rechte einschränken: Beispielsweise könnten Sie einem Benutzer das Recht zur Verwaltung der Enterprise-VoIP-Anwendung nur für den Standort Redmond erteilen und einem anderen Benutzer das Recht zum Verwalten ausschließlich der Benutzer, deren Benutzerkonten der Organisationseinheit "Finance" angehören.
Die Lync Server 2010-Implementierung der rollenbasierten Zugriffssteuerung basiert auf zwei Hauptelementen: Active Directory-Sicherheitsgruppen und Windows PowerShell-Cmdlets. Beim Installieren von Lync Server 2010 werden verschiedene universelle Sicherheitsgruppen erstellt, darunter "CsAdministrator", "CsArchivingAdministrator" und "CsViewOnlyAdministrator". Diese universellen Sicherheitsgruppen entsprechen jeweils einer spezifischen rollenbasierten Zugriffssteuerungsrolle, d. h., dass jedem Benutzer in der Sicherheitsgruppe "CsArchivingAdministrator" die Rechte der Rolle "CsArchivingAdministrator" erteilt werden. Die einer rollenbasierten Zugriffssteuerungsrolle erteilten Rechte basieren wiederum auf den dieser Rolle zugewiesenen Cmdlets. (Cmdlets können mehreren rollenbasierten Zugriffssteuerungsrollen zugewiesen werden.) Angenommen, einer Rolle wurden die folgenden Cmdlets zugewiesen:
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
Diese Liste enthält nur Cmdlets, die von einem Benutzer mit einer hypothetischen rollenbasierten Zugriffssteuerungsrolle während einer Windows PowerShell-Remotesitzung ausgeführt werden dürfen. Wenn der Benutzer versucht, das Cmdlet Disable-CsUser auszuführen, wird ein Fehler zurückgegeben, da Benutzer mit dieser hypothetischen Rolle nicht berechtigt sind, Disable-CsUser auszuführen. Gleiches gilt auch für die Lync Server-Systemsteuerung. Ein Archivadministrator kann einen Benutzer beispielsweise nicht über die Lync Server-Systemsteuerung deaktivieren, da die Lync Server-Systemsteuerung den rollenbasierten Zugriffssteuerungsrollen unterliegt. (Beim Ausführen eines Befehls in der Lync Server-Systemsteuerung wird tatsächlich ein Windows PowerShell-Cmdlet aufgerufen.) Wenn Sie nicht zum Ausführen von Disable-CsUser berechtigt sind, spielt es keine Rolle, ob Sie das Cmdlet direkt aus Windows PowerShell oder indirekt über die Lync Server-Systemsteuerung ausführen: Es tritt immer ein Fehler auf.)
Beachten Sie, dass die rollenbasierte Zugriffssteuerung nur für die Remoteverwaltung gilt. Wenn Sie an einem Computer mit Lync Server 2010 angemeldet sind und die Lync Server-Verwaltungsshell öffnen, werden rollenbasierte Zugriffssteuerungsrollen nicht erzwungen. Stattdessen erfolgt die Erzwingung der Sicherheit primär über die Sicherheitsgruppen "RTCUniversalServerAdmins", "RTCUniversalUserAdmins" und "RTCUniversalReadOnlyAdmins".
Beim Installieren von Lync Server 2010 erstellt das Setupprogramm verschiedene integrierte rollenbasierte Zugriffssteuerungsrollen, die unter anderem allgemeine Verwaltungsbereiche wie VoIP-Verwaltung, Benutzerverwaltung und Reaktionsgruppenverwaltung abdecken. Diese integrierten Rollen können nicht verändert werden. Sie können den Rollen keine Cmdlets hinzufügen oder Cmdlets aus diesen entfernen. Ferner können Sie diese Rollen auch nicht löschen. (Bei dem Versuch, eine integrierte Rolle zu löschen, wird eine Fehlermeldung angezeigt.) Sie können jedoch anhand dieser Rollen benutzerdefinierte rollenbasierte Zugriffssteuerungsrollen erstellen. Diese benutzerdefinierten Rollen können dann geändert werden, indem die Verwaltungsbereiche geändert werden; so können Sie beispielsweise die Rolle auf die Verwaltung von Benutzerkonten mit einer bestimmten Active Directory-OU beschränken.
Von Ihnen erstellte, benutzerdefinierte Rollen können jederzeit mit dem Cmdlet Remove-CsAdminRole gelöscht werden. Beachten Sie, dass mit dem Cmdlet Remove-CsAdminRole weder die der benutzerdefinierten Rolle entsprechende Active Directory-Sicherheitsgruppe noch die der Gruppe zugewiesenen Mitglieder gelöscht werden. Es wird vielmehr sichergestellt, dass die Steuerung von Lync Server 2010 nicht mit dieser benutzerdefinierten Rolle delegiert werden kann.
Beim Löschen einer rollenbasierten Zugriffssteuerungsrolle fordert Windows PowerShell Sie auf, den Löschvorgang zu bestätigen. Wenn Sie nicht auf diese Aufforderung reagieren (oder nicht mit "Ja" antworten), wird die Rolle nicht gelöscht. Verwenden Sie den Parameter "Confirm" mit dem Parameterwert "$False", um zu verhindern, dass diese Bestätigungsaufforderungen eingeblendet werden:
Remove-CsAdminRole RedmondAdministrators –Confirm:$False
Dieses Cmdlet kann von folgenden Benutzern ausgeführt werden: Standardmäßig dürfen Mitglieder der folgenden Gruppen das Cmdlet "Remove-CsAdminRole" lokal ausführen: RTCUniversalServerAdmins. Geben Sie den folgenden Befehl an der Windows PowerShell-Eingabeaufforderung ein, um eine Liste aller rollenbasierten Zugriffssteuerungsrollen zurückzugeben, die diesem Cmdlet zugewiesen wurden (einschließlich der benutzerdefinierten rollenbasierten Zugriffssteuerungsrollen, die Sie selbst erstellt haben):
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsAdminRole"}
Parameter
| Parameter | Erforderlich | Typ | Beschreibung |
|---|---|---|---|
Identity |
Optional |
Zeichenfolge |
Eindeutige ID für die zu löschende rollenbasierte Zugriffssteuerungsrolle. Der Identitätswert einer rollenbasierten Zugriffssteuerungsrolle muss mit dem Wert von "SamAccountName" für die dieser Rolle zugeordnete universelle Active Directory-Sicherheitsgruppe übereinstimmen. Der Identitätswert der Helpdeskrolle ist beispielsweise "CsHelpDesk". "CsHelpDesk" ist auch der Wert von "SamAccountName" der mit dieser Rolle zugeordneten Active Directory-Sicherheitsgruppe. |
Filter |
Optional |
Zeichenfolge |
Ermöglicht die Verwendung von Platzhaltern zum Angeben der zu entfernenden benutzerdefinierten rollenbasierten Zugriffssteuerungsrollen. Um beispielsweise alle benutzerdefinierten Rollen zu entfernen, die in ihrem Identitätswert die Zeichenfolge "Redmond" enthalten, können Sie folgende Syntax verwenden: -Filter "*Redmond*". |
Sid |
Optional |
Sicherheits-ID |
Ermöglicht es Ihnen, die zu löschende rollenbasierte Zugriffssteuerungsrolle mithilfe einer SID (Security Identifier) anzugeben. SIDs werden beim Erstellen der rollenbasierten Zugriffssteuerungsrolle von Lync Server 2010 zugewiesen und sehen etwa wie folgt aus: S-1-5-21-1573807623-1597889489-1765977225-1145. Die SID für eine bestimmte rollenbasierte Zugriffssteuerungsrolle kann mit dem Cmdlet Get-CsAdminRole abgerufen werden. |
Force |
Optional |
Switch-Parameter |
Unterdrückt die Anzeige von Meldungen bei nicht schwerwiegenden Fehlern, die beim Ausführen des Befehls auftreten können. |
WhatIf |
Optional |
Switch-Parameter |
Beschreibt die Auswirkungen einer Ausführung des Befehls, ohne den Befehl tatsächlich auszuführen. |
Confirm |
Optional |
Switch-Parameter |
Ermöglicht Ihnen das Außerkraftsetzen der Benachrichtigung, die bei dem Versuch angezeigt wird, eine rollenbasierte Zugriffssteuerungsrolle zu löschen. Verwenden Sie den Parameter "Confirm" mit dem Parameterwert "$False", um zu verhindern, dass diese Benachrichtigung eingeblendet wird: Remove-CsAdminRole RedmondAdministrators –Confirm:$False |
Eingabetypen
Microsoft.Rtc.Management.ADConnect.Schema.ADUser-Objekt. Remove-CsAdminRole akzeptiert eine weitergeleitete Eingabe von Benutzerobjekten.
Rückgabetypen
Mit Remove-CsAdminRole werden bestehende Instanzen des Objekts "Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role" gelöscht.
Beispiel
-------------------------- Beispiel 1 --------------------------
Remove-CsAdminRole -Identity "RedmondHelpDesk"
Der Befehl in Beispiel 1 löscht die rollenbasierte Zugriffssteuerungsrolle mit dem Identitätswert "RedmondHelpDesk".
-------------------------- Beispiel 2 --------------------------
Remove-CsAdminRole -Filter "*Redmond*"
Der vorstehende Befehl löscht alle rollenbasierten Zugriffssteuerungsrollen, deren Identitätswert den Zeichenfolgenwert "Redmond" enthält.
-------------------------- Beispiel 3 --------------------------
Get-CsAdminRole | Where-Object {$_.IsStandardRole -eq $False} | Remove-CsAdminRole
Der Befehl in Beispiel 3 löscht alle benutzerdefinierten Zugriffssteuerungsrollen, die speziell zur Verwendung in Ihrer Organisation erstellt wurden. Hierzu ruft der Befehl zunächst Get-CsAdminRole ohne Parameter auf. Damit wird eine Auflistung der rollenbasierten Zugriffssteuerungsrollen zurückgegeben. Diese Auflistung wird dann an das Cmdlet Where-Object weitergeleitet, das nur Rollen herausfiltert, bei denen die Eigenschaft "IsStandardRole" den Wert "False" aufweist. Der Definition entsprechend handelt es sich bei allen Rollen, die dieses Kriterium erfüllen, um benutzerdefinierte Rollen. Diese benutzerdefinierten Rollen werden an das Cmdlet Remove-CsAdminRole weitergeleitet und von diesem gelöscht.