委派 Lync Server 2013 的管理控制

 

上次修改的主题: 2013-02-22

在 Lync Server 2013 中,管理任务通过使用新的基于角色的访问控制 (RBAC) 功能委派给用户。 安装 Lync Server 时,会为你创建多个 RBAC 角色。 这些角色对应 Active Directory 域服务中的通用安全组。 例如,RBAC 角色 CsHelpDesk 对应于在 Active Directory 域服务 中的 Users 容器中找到的 CsHelpDesk 组。 此外,每个 RBAC 角色都与一组 Lync Server Windows PowerShell cmdlet 相关联。 这些 cmdlet 表示已分配给定 RBAC 角色的用户可以执行的任务。 例如,CsHelpDesk 角色已分配Lock-CsClientPin和 UnlockCsClientPin cmdlet。 这意味着已分配 CsHelpDesk 角色的用户可以锁定和解锁用户 PIN 号码。 但是,尚未为 CsHelpDesk 角色分配New-CsVoicePolicy cmdlet。 这意味着已分配 CsHelpDesk 角色的用户无法创建新的语音策略。

查看有关 RBAC 角色的信息

可以通过在 Lync Server Management Shell 中运行以下命令来检索有关 RBAC 角色的基本信息:

Get-CsAdminRole

请记住,RBAC 角色的标识 (例如,CsVoiceAdministrator) 直接映射到在 Active Directory 域服务 中的 Users 容器中找到的安全组。

若要查看已分配给角色的 cmdlet 的列表,请使用类似于以下内容的命令:

Get-CsAdminRole -Identity "CsHelpDesk" | Select-Object -ExpandProperty Cmdlets

将 RBAC 角色分配给用户

若要将 RBAC 角色分配给用户,必须将该用户添加到相应的 Active Directory 安全组。 例如,若要将 CsLocationAdministrator 角色分配给用户,必须将该用户添加到 CsLocationAdministrator 组。 可以通过执行以下过程来完成此操作:

将用户分配到安全组

  1. 使用有权修改 Active Directory 组成员身份的帐户,登录到已安装Active Directory 用户和计算机的计算机。

  2. 单击“开始”,单击“所有程序”,单击“管理工具”,然后单击Active Directory 用户和计算机

  3. 在Active Directory 用户和计算机中,展开域的名称,然后单击“用户”容器。

  4. 右键单击安全组 CsLocationAdministrator,然后单击 “属性”。

  5. 在“ 属性 ”对话框的“ 成员 ”选项卡上,单击 “添加”。

  6. “选择用户”、“计算机”、“联系人”或“组 ”对话框中,键入要添加到组的用户的用户名或显示名称 (例如 ,Ken Myer) 在“ 输入对象名称”中选择 框,然后单击 “确定”。

  7. 在“ 属性” 对话框中,单击 “确定”。

若要验证是否已分配 RBAC 角色,请使用 Get-CsAdminRoleAssignment cmdlet,将 cmdlet 传递给用户的 SamAccountName (Active Directory 登录名称) 。 例如,从 Lync Server Management Shell 中运行此命令:

Get-CsAdminRoleAssignment  -Identity "kenmyer"