Set-CsAdminRole
Tópico modificado em: 2012-03-26
Modifica uma função do controle de acesso baseado em função (RBAC). As funções do RBAC são utilizadas para especificar as tarefas de gerenciamento que os usuários podem efetuar e para determinar o escopo em que os usuários poderão efetuar essas tarefas.
Sintaxe
Set-CsAdminRole -Identity <String> [-ConfigScopes <PSListModifier>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-UserScopes <PSListModifier>] [-WhatIf [<SwitchParameter>]]
Descrição Detalhada
O RBAC permite aos administradores delegar o controle de tarefas de gerenciamento específicas no Microsoft Lync Server 2010. Por exemplo, em vez de conceder à assistência técnica da sua organização privilégios plenos de administrador, é possível fornecer direitos muito específicos a esses funcionários: o direito de gerenciar apenas contas de usuário, o direito de gerenciar apenas componentes do Enterprise Voice, o direito de gerenciar apenas arquivamento e Servidor de Arquivamento. Além disso, esses direitos podem ser limitados em escopo: alguém pode receber o direito de gerenciar o Enterprise Voice, mas apenas no site de Redmond, enquanto outra pessoa pode receber o direito de gerenciar usuários, mas apenas se essas contas de usuários estiverem na unidade organizacional (OU) Financeiro.
A implementação do Lync Server 2010 do RBAC é feita com base em dois elementos principais: Grupos de segurança do Active Directory e cmdlets do Windows PowerShell. Ao se instalar o Lync Server 2010, criam-se diversos grupos de segurança universal, como CsAdministrator, CsArchivingAdministrator e CsViewOnlyAdministrator, por exemplo. Esses grupos de segurança universal possuem uma correspondência de um para um com as funções do RBAC. Isso significa que todos os direitos de qualquer usuário que estiver no grupo de segurança CsArchivingAdministrator serão concedidos à função CsArchivingAdministrator do RBAC. Por sua vez, os direitos concedidos a uma função do RBAC têm como base os cmdlets atribuídos a essa função (os cmdlets podem ser atribuídos a diversas funções do RBAC). Por exemplo: suponhamos que uma função tenha recebido a atribuição dos seguintes cmdlets:
Get-ArchivingPolicy
Grant-ArchivingPolicy
New-ArchivingPolicy
Remove-ArchivingPolicy
Set-ArchivingPolicy
Get-ArchivingConfiguration
New-ArchivingConfiguration
Remove-ArchivingConfiguration
Set-ArchivingConfiguration
Get-CsUser
Export-CsArchivingData
Get-CsComputer
Get-CsPool
Get-CsService
Get-CsSite
A lista acima representa os únicos cmdlets que um usuário que tiver recebido a atribuição de uma função do RBAC hipotética poderá executar em uma sessão remota do Windows PowerShell. Se o usuário tentar executar o cmdlet Disable-CsUser, esse comando falhará porque os usuários que tiverem recebido a função hipotética não têm o direito de executar Disable-CsUser. Isso também se aplica ao Painel de Controle do Lync Server. Por exemplo: um Administrador de arquivamento não pode desabilitar um usuário usando o Painel de Controle do Lync Server, porque o Painel de Controle do Lync Server cumpre as funções do RBAC. (sempre que se executar um comando no Painel de Controle do Lync Server, se estará chamando de fato um cmdlet do Windows PowerShell). Se você não tiver permissão para executar Disable-CsUser, não fará diferença se você executar esse cmdlet diretamente, no Windows PowerShell, ou indiretamente, dentro do Painel de Controle do Lync Server: o comando falhará.
Observe que o RBAC se aplica apenas ao gerenciamento remoto. Se você estiver registrado em um computador que executa Lync Server 2010 e você abrir Shell de Gerenciamento do Lync Server, as funções do RBAC não serão impostas. Em vez disso, a segurança será imposta principalmente nos grupos de segurança RTCUniversalServerAdmins, RTCUniversalUserAdmins e RTCUniversalReadOnlyAdmins.
Ao se instalar o Lync Server 2010, a instalação cria diversas funções do RBAC incorporadas, que abrangem as áreas administrativas comuns, como a administração de voz, o gerenciamento de usuários e a administração do Grupo de respostas. Essas funções incorporadas não podem ser modificadas de maneira alguma: não é possível adicionar ou remover cmdlets de funções, nem é possível excluir essas funções (qualquer tentativa de excluir uma função incorporada resultará em uma mensagem de erro). No entanto, é possível usar as funções incorporadas para criar funções de RBAC personalizadas. Essas funções personalizadas podem ser modificadas alterando-se os escopos administrativos. Por exemplo: é possível limitar a função ao gerenciamento de contas de usuários em uma determinada OU do Active Directory.
Qualquer função personalizada que for criada deve se basear em um modelo: uma função de RBAC existente. Por exemplo: para criar a função Administrador de conferências discadas, é necessário "clonar" efetivamente uma função do RBAC existente (por exemplo: baseie a função Administrador de conferências discadas na função existente Administrador de voz). Depois que uma função personalizada tiver sido criada, será possível utilizar Set-CsAdminRole, para modificar as propriedades dessa nova função.
Quem pode executar esse cmdlet: Por padrão, membros dos seguintes grupos são autorizados a executar o cmdlet Set-CsAdminRole localmente: RTCUniversalServerAdmins. Para retornar uma lista de todas as funções de RBAC que receberam a atribuição desse cmdlet (incluindo qualquer função RBAC personalizada criada por você), execute o seguinte comando no prompt do Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsAdminRole"}
Parâmetros
Parâmetro | Obrigatório | Digite | Descrição |
---|---|---|---|
Identity |
Obrigatório |
Cadeia de caracteres |
Identificador exclusivo da função de RBAC a ser modificada. A Identidade de uma função de RBAC deve ser a mesma que SamAccountName do grupo de segurança universal do Active Directory que estiver associado a essa função. Por exemplo: a função Assistência técnica possui uma Identidade igual a CsHelpDesk; CsHelpDesk é também o SamAccountName do grupo de segurança do Active Directory associado a essa função. |
ConfigScopes |
Opcional |
Modificador de Lista PS |
Limita o escopo do cmdlet a definições de configuração dentro do site especificado. Para limitar o escopo do cmdlet a um único site, use uma sintaxe semelhante a essa: -ConfigScopes site:Redmond. Vários sites podem ser especificados, utilizando-se uma lista separada por vírgulas: -ConfigScopes "site:Redmond, "site:Dublin". Também é possível definir a propriedade ConfigScopes como "global". Ao atribuir um valor ao parâmetro ConfigScopes, é necessário usar o prefixo "site:" seguido do valor da propriedade SiteId do site; SiteId não é necessariamente o mesmo valor que a Identidade do site ou DisplayName do site. Para determinar o SiteId de um determinado site, utilize um comando semelhante a esse: Get-CsSite "Redmond" | Select-Object SiteId É necessário especificar um valor para ConfigScopes ou UserScopes (ou ambas as propriedades). |
UserScopes |
Opcional |
Modificador de Lista PS |
Limita o escopo do cmdlet a atividades de gerenciamento de usuários dentro da OU especificada. Para limitar o escopo do cmdlet a uma única OU, use uma sintaxe semelhante a essa: -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com". Várias OUs podem ser especificadas, utilizando-se uma lista separada por vírgulas: -UserScopes "OU:ou=Redmond,dc=litwareinc,dc=com", "OU:ou=Dublin,dc=litwareinc,dc=com". Para adicionar novos escopos a uma função (ou remover escopos existentes), utilize a sintaxe de modificadores da lista do Windows PowerShell. Para obter detalhes, consulte a seção Exemplos, neste tópico da Ajuda. É necessário especificar um valor para ConfigScopes ou UserScopes (ou ambas as propriedades). |
Force |
Opcional |
Parâmetro de opção |
Suprime a exibição de qualquer mensagem de erro não-fatal que possa ocorrer durante a execução do comando. |
WhatIf |
Opcional |
Parâmetro de opção |
Descreve o que aconteceria se o comando fosse executado sem ser executado de fato. |
Confirm |
Opcional |
Parâmetro de opção |
Solicita confirmação antes da execução do comando. |
Tipos de Entrada
Nenhuma.
Tipos de Retorno
Set-CsAdminRole não retorna um valor ou objeto. Em vez disso, o cmdlet configura instâncias do objeto Microsoft.Rtc.Management.WritableConfig.Settings.Roles.Role.
Exemplo
-------------------------- Exemplo 1 ------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -UserScopes @{Add="OU:ou=Portland,dc=litwareinc,dc=com"}
O comando anterior adiciona uma nova OU (Portland) à propriedade UserScopes da função de RBAC RedmondVoiceAdministrators. Para isso, o comando inclui a propriedade UserScopes e o seguinte valor de parâmetro: @{Add="OU:ou=Portland,dc=litwareinc,dc=com"}. Essa sintaxe adiciona a OU com o nome diferenciado "ou=Portland,dc=litwareinc,dc=com" às OUs que já existirem na propriedade UserScopes.
-------------------------- Exemplo 2 ------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -UserScopes @{Remove="OU:ou=Portland,dc=litwareinc,dc=com"}
O comando exibido no Exemplo 2 remove a OU Portland da função de RBAC RedmondVoiceAdministrators. Para isso, o comando inclui a propriedade UserScopes e o seguinte valor de parâmetro: @{Remove="OU:ou=Portland,dc=litwareinc,dc=com"}. Essa sintaxe exclui a OU com o nome diferenciado "ou=Portland,dc=litwareinc,dc=com" da coleção de OUs que já existirem na propriedade UserScopes.
-------------------------- Exemplo 3 ------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Add="site:Redmond"}
No Exemplo 3, um novo site (cujo SiteId for Redmond) é adicionado à propriedade ConfigScopes da função RedmondVoiceAdministrators do RBAC. Para isso, o comando inclui o parâmetro ConfigScopes e o seguinte valor de parâmetro: @{Add="OU:ou=Portland,dc=litwareinc,dc=com"}. Essa sintaxe adiciona o site de Redmond a todos os itens que já estiverem na propriedade ConfigScopes.
-------------------------- Exemplo 4 ------------------------
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Remove="siteRedmond"}
O comando exibido no Exemplo 4 remove o site de Redmond da função RedmondVoiceAdministrators do RBAC. Para isso, o comando inclui o parâmetro ConfigScopes e o seguinte valor de parâmetro: @{Remove="site:Redmond"}. Essa parâmetro exclui o site de Redmond da coleção de itens que já estiverem na propriedade ConfigScopes. Observe que esse comando falhará se o site de Redmond for o único site na propriedade ConfigScopes. Se você estiver removendo o único site na propriedade ConfigScopes, utilize um comando semelhante a esse, que substitui todos os itens em ConfigScopes pela propriedade Gobal:
Set-CsAdminRole -Identity "RedmondVoiceAdministrators" -ConfigScopes @{Replace="Global"}