Partager via


Get-CsAdminRole

 

Dernière rubrique modifiée : 2012-03-23

Retourne des informations sur les rôles de contrôle d’accès basé sur un rôle (RBAC) utilisés dans votre organisation. Les rôles de contrôle d’accès basé sur un rôle (RBAC) sont utilisés pour spécifier les tâches de gestion que les utilisateurs peuvent réaliser, et pour déterminer l’étendue dans laquelle les utilisateurs sont en mesure de réaliser ces tâches.

Syntaxe

Get-CsAdminRole [-Identity <String>] [-LocalStore <SwitchParameter>]

Get-CsAdminRole [-Sid <String>] [-LocalStore <SwitchParameter>]

Get-CsAdminRole [-Filter <String>] [-LocalStore <SwitchParameter>]

Description détaillée

Le contrôle d’accès basé sur un rôle (RBAC) permet aux administrateurs de déléguer le contrôle de certaines tâches de gestion spécifiques dans Microsoft Lync Server 2010. Par exemple, au lieu d’octroyer au personnel du support technique de l’organisation des privilèges d’administrateur complets, vous pouvez lui donner des droits très spécifiques, notamment le droit de gérer uniquement des comptes d’utilisateurs, le droit de gérer uniquement des composants Enterprise Voice et le droit de gérer uniquement l’archivage et le serveur d’archivage. De plus, l’étendue de ces droits peut être limitée : une personne peut avoir le droit de gérer Enterprise Voice, mais uniquement sur le site de Redmond ; une autre personne peut avoir le droit de gérer les utilisateurs, mais uniquement les comptes des utilisateurs dans l’unité d’organisation Finance.

L’implémentation du contrôle RBAC dans Lync Server 2010 repose sur deux éléments clés : les groupes de sécurité Active Directory et les cmdlets Windows PowerShell. Lorsque vous installez Lync Server 2010, certains groupes universels de sécurité sont créés pour vous, notamment les groupes CsAdministrator, CsArchivingAdministrator et CsViewOnlyAdministrator. Ces groupes universels de sécurité disposent d’une correspondance exacte avec des rôles RBAC, ce qui signifie que tous les utilisateurs du groupe de sécurité CsArchivingAdministrator bénéficient des droits octroyés au rôle RBAC CsArchivingAdministrator. À leur tour, les droits octroyés à un rôle RBAC sont fondés sur les cmdlets affectées à ce rôle (les cmdlets peuvent être affectées à plusieurs rôles RBAC). Par exemple, imaginons que les cmdlets suivantes aient été affectées à un rôle :

Get-ArchivingPolicy

Grant-ArchivingPolicy

New-ArchivingPolicy

Remove-ArchivingPolicy

Set-ArchivingPolicy

Get-ArchivingConfiguration

New-ArchivingConfiguration

Remove-ArchivingConfiguration

Set-ArchivingConfiguration

Get-CsUser

Export-CsArchivingData

Get-CsComputer

Get-CsPool

Get-CsService

Get-CsSite

La liste ci-dessus répertorie uniquement les cmdlets qu’un utilisateur affecté à un rôle RBAC hypothétique peut exécuter dans une session Windows PowerShell distante. Si l’utilisateur tente d’exécuter la cmdlet Disable-CsUser, cette commande échouera étant donné que les utilisateurs auxquels le rôle hypothétique a été affecté n’ont pas le droit d’exécuter Disable-CsUser. Cela s’applique également au Panneau de configuration Lync Server. Par exemple, un administrateur d’archivage ne peut pas désactiver un utilisateur à l’aide du Panneau de configuration Lync Server puisque le Panneau de configuration Lync Server est conforme aux rôles RBAC. Chaque fois que vous exécutez une commande dans le Panneau de configuration Lync Server, vous appelez en fait une cmdlet Windows PowerShell. Si vous n’êtes pas autorisé à exécuter Disable-CsUser, peu importe si vous exécutez directement cette cmdlet depuis une session Windows PowerShell distante ou si vous l’exécutez indirectement la cmdlet depuis le Panneau de configuration Lync Server : la commande échouera.

Notez que le contrôle d’accès basé sur un rôle (RBAC) ne s’applique qu’à la gestion à distance. Si vous êtes connecté à un ordinateur équipé de Lync Server 2010 et ouvrez Lync Server Management Shell, les rôles RBAC ne sont pas appliqués. Au lieu de cela, la sécurité est principalement renforcée par le biais des groupes de sécurité RTCUniversalServerAdmins, RTCUniversalUserAdmins et RTCUniversalReadOnlyAdmins.

Lorsque vous installez Lync Server 2010, le programme d’installation crée plusieurs rôles RBAC intégrés. Ces rôles couvrent des tâches administratives courantes, telles que l’administration de la voix, la gestion des utilisateurs et l’administration Response Group. Ces rôles intégrés ne peuvent en aucune manière être modifiés : vous ne pouvez pas ajouter des cmdlets aux rôles ou en supprimer, et vous ne pouvez pas supprimer ces rôles. (Toute tentative de suppression d’un rôle intégré aboutira à un message d’erreur.) Toutefois, vous pouvez utiliser les rôles intégrés pour créer des rôles RBAC personnalisés. Ces rôles personnalisés peuvent être modifiés en modifiant les étendues d’administration. Par exemple, il est possible de limiter le rôle de gestion des comptes d’utilisateurs à une unité d’organisation Active Directory en particulier.

La cmdlet Get-CsAdminRole retourne des informations sur tous les rôles RBAC à utiliser dans votre organisation.

Personnes autorisées à exécuter cette cmdlet : Par défaut, les membres des groupes qui suivent sont autorisés à exécuter localement la cmdlet Get-CsAdminRole : RTCUniversalUserAdmins, RTCUniversalServerAdmins, RTCUniversalReadOnlyAdmins. Pour retourner une liste de tous les rôles RBAC (Contrôle d’accès basé sur un rôle) auxquels cette cmdlet a été affectée (y compris les rôles RBAC personnalisés créés par vos soins), exécutez la commande suivante à l’invite Windows PowerShell :

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Get-CsAdminRole\b"}

Paramètres

Paramètre Obligatoire Type Description

Identity

Facultatif

Chaîne

Identificateur unique du rôle RBAC à retourner. L’identité du rôle RBAC doit être identique au SamAccountName du groupe universel de sécurité Active Directory associé à ce rôle. Par exemple, l’identité du rôle Help Desk (support technique) est égale à CsHelpDesk. CsHelpDesk est également le SamAccountName du groupe de sécurité Active Directory associé à ce rôle.

Filter

Facultatif

Chaîne

Permet d’utiliser des caractères génériques afin de spécifier le ou les rôles RBAC à retourner. Par exemple, pour retourner tous les rôles qui comprennent la valeur de chaîne « Redmond » dans leur identité, vous pouvez utiliser cette syntaxe : -Filter "*Redmond*".

Sid

Facultatif

Identificateur de sécurité

Permet d’utiliser un identificateur de sécurité (SID) pour spécifier le rôle RBAC à récupérer. Les identificateurs de sécurité sont affectés par Lync Server 2010 au moment de la création même du rôle RBAC et se présentent comme suit : S-1-5-21-1573807623-1597889489-1765977225-1145.

Ce même SID peut également se trouver sur le groupe de sécurité Active Directory correspondant.

LocalStore

Facultatif

Paramètre de commutateur

Récupère les données RBAC à partir du réplica local du magasin central de gestion et non du magasin central de gestion lui-même.

Types d’entrées

Aucun.

Types de retours

Get-CsAdminRole retourne des instances de l’objet Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role.

Exemple

-------------------------- Exemple 1 ------------------------

Get-CsAdminRole

La commande présentée dans l’exemple 1 retourne des informations sur tous les rôles RBAC configurés pour être utilisés dans votre organisation. Cette opération est effectuée en appelant la cmdlet Get-CsAdminRole sans aucun paramètre.

-------------------------- Exemple 2 ------------------------

Get-CsAdminRole -Identity "CsHelpDesk"

Dans l’exemple 2, un seul rôle RBAC est retourné : le rôle dont l’identité est CsHelpDesk.

-------------------------- Exemple 3 ------------------------

Get-CsAdminRole -Filter "*Voice*"

La commande ci-dessus retourne tous les rôles RBAC ayant la valeur de chaîne « Voice » dans leur identité (par exemple, CsVoiceAdministrator, RedmondVoiceAdministrators, etc.). Pour cela, la cmdlet Get-CsAdminRole est appelée avec le paramètre Filter ; la valeur de filtre « *Voice* » limite les données retournées aux rôles RBAC comportant la valeur de chaîne « Voice » dans leur identité.

-------------------------- Exemple 4 ------------------------

Get-CsAdminRole | Where-Object {$_.IsStandardRole -eq $False}

L’exemple 4 retourne tous les rôles RBAC personnalisés qui ont été créés en vue de leur utilisation dans votre organisation. Pour exécuter cette tâche, la commande utilise d’abord la cmdlet Get-CsAdminRole pour retourner une collection de tous les rôles RBAC actuellement utilisés. Cette collection est ensuite redirigée vers la cmdlet Where-Object qui sélectionne uniquement les rôles dont la propriété IsStandardRole est égale à False. Par définition, un rôle qui répond à ce critère est un rôle RBAC personnalisé.

-------------------------- Exemple 5 ------------------------

Get-CsAdminRole | Where-Object {$_.Cmdlets -match "Set-CsUser\b"}

La commande présentée dans l’exemple 5 retourne tous les rôles RBAC comprenant la cmdlet Set-CsUser. Pour ce faire, la commande appelle d’abord Get-CsAdminRole? sans aucun paramètre, afin de retourner une collection de tous les rôles RBAC de l’organisation. Cette collection est ensuite redirigée vers Where-Object qui sélectionne les rôles dont la propriété Cmdlets inclut la chaîne cmdlet « Set-CsUser\b ». (\b est un séparateur de mot qui indique que « Set-CsUser » représente la valeur de chaîne entière.)

-------------------------- Exemple 6 ------------------------

Get-CsAdminRole | Where-Object {$_.UserScopes -match "OU: ou=Redmond,dc=litwareinc,dc=com"}

L’exemple 6 retourne des informations sur tous les rôles RBAC qui incluent l’unité d’organisation spécifiée (ou=Redmond, dc=litwareinc, dc=com) dans leur propriété UserScopes. Pour exécuter cette tâche, la commande appelle d’abord la cmdlet Get-CsAdminRole pour retourner une collection de tous les rôles RBAC actuellement configurés en vue d’une utilisation. Cette collection est ensuite redirigée vers Where-Object qui sélectionne tous les rôles dont la propriété UserScopes comporte la chaîne « OU:ou=Redmond,dc=litwareinc,dc=com ».

-------------------------- Exemple 7 ------------------------

Get-CsAdminRole -Identity "CsVoiceAdministrator" | Select-Object -ExpandProperty Cmdlets

La commande ci-dessus retourne une liste de toutes les cmdlets incluses dans le rôle CsVoiceAdministrator. Pour cela, la commande utilise d’abord la cmdlet Get-CsAdminRole pour retourner toutes les propriétés et leurs valeurs pour CsVoiceAdministrator. Ces informations sont ensuite redirigées vers la cmdlet Select-Object qui utilise le paramètre ExpandProperty pour afficher tous les éléments contenus dans la propriété Cmdlets.