Partager via

  • Article

Remove-CsAdminRole

 

Dernière rubrique modifiée : 2012-03-26

Supprime un rôle RBAC (Contrôle d’accès basé sur un rôle) existant. Les rôles de contrôle d’accès basé sur un rôle (RBAC) sont utilisés pour spécifier les tâches de gestion que les utilisateurs peuvent réaliser, et pour déterminer l’étendue dans laquelle les utilisateurs sont en mesure de réaliser ces tâches.

Syntaxe

Remove-CsAdminRole -Identity <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]

Remove-CsAdminRole -Sid <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]

Remove-CsAdminRole [-Confirm [<SwitchParameter>]] [-Filter <String>] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]

Description détaillée

Le contrôle d’accès basé sur un rôle (RBAC) permet aux administrateurs de déléguer le contrôle de certaines tâches de gestion dans Microsoft Lync Server 2010. Par exemple, au lieu d’octroyer au personnel du support technique de l’organisation des privilèges d’administrateur complets, vous pouvez lui donner des droits très spécifiques : le droit de gérer uniquement des comptes d’utilisateurs, le droit de gérer uniquement des composants Enterprise Voice, et le droit de gérer uniquement l’archivage et le serveur d’archivage. De plus, l’étendue de ces droits peut être limitée : une personne peut avoir le droit de gérer Enterprise Voice, mais uniquement sur le site de Redmond ; une autre personne peut avoir le droit de gérer les utilisateurs, mais uniquement les comptes des utilisateurs dans l’unité d’organisation Finance.

L’implémentation du contrôle RBAC dans Lync Server 2010 repose sur deux éléments clés : les groupes de sécurité Active Directory et les cmdlets Windows PowerShell. Lorsque vous installez Lync Server 2010, certains groupes universels de sécurité sont créés pour vous, notamment les groupes CsAdministrator, CsArchivingAdministrator et CsViewOnlyAdministrator. Ces groupes universels de sécurité disposent d’une correspondance exacte avec des rôles RBAC, ce qui signifie que tous les utilisateurs du groupe de sécurité CsArchivingAdministrator bénéficient des droits octroyés au rôle RBAC CsArchivingAdministrator. À leur tour, les droits octroyés à un rôle RBAC sont fondés sur les cmdlets affectées à ce rôle (les cmdlets peuvent être affectées à plusieurs rôles RBAC). Par exemple, imaginons que les cmdlets suivantes aient été affectées à un rôle :

Get-ArchivingPolicy

Grant-ArchivingPolicy

New-ArchivingPolicy

Remove-ArchivingPolicy

Set-ArchivingPolicy

Get-ArchivingConfiguration

New-ArchivingConfiguration

Remove-ArchivingConfiguration

Set-ArchivingConfiguration

Get-CsUser

Export-CsArchivingData

Get-CsComputer

Get-CsPool

Get-CsService

Get-CsSite

La liste ci-dessus répertorie uniquement les cmdlets qu’un utilisateur affecté à un rôle RBAC hypothétique peut exécuter dans une session Windows PowerShell distante. Si l’utilisateur tente d’exécuter la cmdlet Disable-CsUser, cette commande échouera étant donné que les utilisateurs auxquels le rôle hypothétique a été affecté n’ont pas le droit d’exécuter Disable-CsUser. Cela s’applique également au Panneau de configuration Lync Server. Par exemple, un administrateur d’archivage ne peut pas désactiver un utilisateur à l’aide du Panneau de configuration Lync Server puisque le Panneau de configuration Lync Server est conforme aux rôles RBAC. Chaque fois que vous exécutez une commande dans le Panneau de configuration Lync Server, vous appelez en fait une cmdlet Windows PowerShell. Si vous n’êtes pas autorisé à exécuter Disable-CsUser, peu importe si vous exécutez directement cette cmdlet depuis Windows PowerShell ou si vous l’exécutez indirectement la cmdlet depuis le Panneau de configuration Lync Server : cette commande échouera.

Notez que le contrôle d’accès basé sur un rôle (RBAC) ne s’applique qu’à la gestion à distance. Si vous êtes connecté à un ordinateur équipé de Lync Server 2010 et ouvrez Lync Server Management Shell, les rôles RBAC ne sont pas appliqués. Au lieu de cela, la sécurité est principalement renforcée par le biais des groupes de sécurité RTCUniversalServerAdmins, RTCUniversalUserAdmins et RTCUniversalReadOnlyAdmins.

Lorsque vous installez Lync Server 2010, le programme d’installation crée plusieurs rôles RBAC intégrés couvrant des tâches administratives courantes, telles que l’administration de la voix, la gestion des utilisateurs et l’administration Response Group. Ces rôles intégrés ne peuvent en aucune manière être modifiés : vous ne pouvez pas ajouter ou supprimer de cmdlets à ces rôles et vous ne pouvez pas supprimer ces rôles. (Toute tentative de suppression d’un rôle intégré aboutira à un message d’erreur.) Toutefois, vous pouvez utiliser les rôles intégrés pour créer des rôles RBAC personnalisés. Ces rôles personnalisés peuvent être modifiés en modifiant les étendues d’administration. Par exemple, il est possible de limiter le rôle de gestion des comptes d’utilisateurs à une unité d’organisation Active Directory en particulier.

La cmdlet Remove-CsAdminRole permet de supprimer tous les rôles personnalisés que vous créez. Notez que la cmdlet Remove-CsAdminRole ne supprime pas le groupe de sécurité Active Directory correspondant au rôle personnalisé et ne supprime aucun membre affecté au groupe. Au lieu de cela, la cmdlet veille simplement à ce que le rôle personnalisé ne puisse servir à déléguer le contrôle de Lync Server 2010.

Lorsque vous supprimez un rôle RBAC, Windows PowerShell vous demande si vous êtes sûr de vouloir supprimer ce rôle. Si vous ne répondez pas à cette invite (ou si vous ne répondez pas par Oui), le rôle ne sera pas supprimé. Pour éviter ces invites de confirmation, utilisez le paramètre Confirm et définissez sa valeur sur $False :

Remove-CsAdminRole RedmondAdministrators –Confirm:$False

Personnes autorisées à exécuter cette cmdlet : Par défaut, les membres des groupes qui suivent sont autorisés à exécuter localement la cmdlet Remove-CsAdminRole : RTCUniversalServerAdmins. Pour retourner une liste de tous les rôles RBAC (Contrôle d’accès basé sur un rôle) auxquels cette cmdlet a été affectée (y compris les rôles RBAC personnalisés créés par vos soins), exécutez la commande suivante à l’invite Windows PowerShell :

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsAdminRole"}

Paramètres

Paramètre Obligatoire Type Description

Identity

Facultatif

Chaîne

Identificateur unique du rôle RBAC à supprimer. L’identité du rôle RBAC doit être identique au SamAccountName du groupe universel de sécurité Active Directory associé à ce rôle. Par exemple, l’identité du rôle Help Desk (assistance technique) est égale à CsHelpDesk. CsHelpDesk est également le SamAccountName du groupe de sécurité Active Directory associé à ce rôle.

Filter

Facultatif

Chaîne

Permet d’utiliser des caractères génériques afin d’indiquer les rôles RBAC personnalisés à supprimer. Par exemple, pour supprimer tous les rôles personnalisés comprenant la valeur « Redmond » dans leur paramètre Identity, utilisez la syntaxe suivante : -Filter "*Redmond*".

Sid

Facultatif

Identificateur de sécurité

Permet d’utiliser un identificateur de sécurité (SID) afin de spécifier le rôle RBAC à supprimer. Les identificateurs de sécurité sont affectés par Lync Server 2010 au moment de la création même du rôle RBAC et se présentent comme suit : S-1-5-21-1573807623-1597889489-1765977225-1145. L’identificateur de sécurité d’un rôle RBAC donné peut être récupéré à l’aide de la cmdlet Get-CsAdminRole.

Force

Facultatif

Paramètre de commutateur

Supprime l’affichage de tous les messages d’erreur récupérable susceptibles d’apparaître lors de l’exécution de la commande.

WhatIf

Facultatif

Paramètre de commutateur

Décrit ce qui se passe si vous exécutez la commande sans l’exécuter réellement.

Confirm

Facultatif

Paramètre de commutateur

Permet d’ignorer l’invite de confirmation qui s’affiche normalement lorsque vous essayez de supprimer un rôle RBAC. Pour passer outre l’invite de confirmation, incluez le paramètre Confirm et définissez sa valeur sur $False :

Remove-CsAdminRole RedmondAdministrators –Confirm:$False

Types d’entrées

Objet Microsoft.Rtc.Management.ADConnect.Schema.ADUser. Remove-CsAdminRole accepte la saisie de données transmises via le pipeline pour les objets utilisateur.

Types de retours

Remove-CsAdminRole supprime les instances existantes de l’objet Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role.

Exemple

-------------------------- Exemple 1 ------------------------

Remove-CsAdminRole -Identity "RedmondHelpDesk"

La commande présentée dans l’exemple 1 supprime le rôle RBAC portant l’identité RedmondHelpDesk.

-------------------------- Exemple 2 ------------------------

Remove-CsAdminRole -Filter "*Redmond*"

La commande ci-dessus supprime tous les rôles RBAC dont l’identité comporte la valeur de chaîne « Redmond ».

-------------------------- Exemple 3 ------------------------

Get-CsAdminRole | Where-Object {$_.IsStandardRole -eq $False} | Remove-CsAdminRole

Dans l’exemple 3, la commande supprime tous les rôles RBAC personnalisés qui ont été créés pour être utilisés dans votre organisation. Pour cela, la commande appelle d’abord Get-CsAdminRole, sans aucun paramètre, qui retourne une collection des rôles RBAC. Cette collection est ensuite redirigée vers la cmdlet Where-Object qui sélectionne uniquement les rôles dont la propriété IsStandardRole est égale à False. Par définition, tous les rôles répondant à ce critère sont des rôles personnalisés. À leur tour, ces rôles personnalisés sont ensuite redirigés vers la cmdlet Remove-CsAdminRole.