使用场景:
在大型的Lync统一沟通系统的日常运维中,我们需要为不同角色的管理员分配不同的Lync管理权限,在Lync Server 2013上面就使用了基于角色的权限控制:RBAC ,它里面分了多种权限角色,包括 CsAdministrator,CsUserAdministrator,CsVoiceAdministrator,CsServerAdministrator,CsViewOnlyAdministrator,CsHelpDesk等等,不同的角色有不同的Lync管理权限,
例如,当我们只需要分配启用用户与停用用户这两项功能给Lync的帐号管理员时,就需要用到RBAC来分配权限了。还有一种情况,当CsUserAdministrator的管理员还要管理一部分Voice Policy的任务时,这时就需要自定义一个权限组来完成这一任务。
实现目的:
1. 如何把Lync内置的角色组分配给管理员?
2. 如何查找Lync内置的角色组都包含了什么可用的操作或可用的命令?
3.如何自定义角色组?
具体操作:
1. 如何把Lync内置的角色组分配给管理员?
在安装Lync的过程中已经自动在ADUC上面创建多个定义好的角色,如CSUserAdministrator, CSVoiceAdministrator等,如下图:
我们只需要简单地把相关的用户增加到相关的角色组上面,就拥有了对应的权限了,如下图:
然后再使用刚刚那个用户打开Lync控制面板,就会发现一些非Voice相关的功能就不能再用了,如下
那么,究竟这些角色组里面具体有一些什么功能呢?下图列举了一些
2. 如何查找Lync内置的角色组都包含了什么可用的操作或可用的命令?
如果觉得还不够详细,我还想知道具体到哪些命令能用,哪些不能用的话,请使用以下命令,它会把CsUserAdministrator里面所用到所有命令都列举出来:
Get-CsAdminRole CsUserAdministrator| Select-Object –ExpandProperty cmdlets
3.如何自定义角色组?
在实际的使用过程中,你可能需要为CsUserAdministrator管理员增加或删除一些不需要的功能,以满足各种情况的需求,方法如下:
Step1: 在ADUC中创建一个通用安全组,取名为CsUserPlus
Step2: 运行以下命令,它会以CsUserAdministrator为模版,并作用在特定的OU下面:
New-CsAdminRole -Identity "CsUserPlus" -Template "CsUserAdministrator" -UserScopes "OU:ou=test,dc=contoso,dc=cn"
Step3:在上文我们已经知道了CsUserAdministrator具体有一些什么命令,现在我们可以把里面一些没有用的给删除掉,例如如下:
Set-CsAdminRole –Identity "CsUserPlus" -Cmdlets @{Remove=‘Disable-CsMeetingRoom‘,‘Enable-CsMeetingRoom‘}
当然,我们还可以增加一些其它命令,以满足各种情况的需要,例如增加一个触发CMS同步的命令:
Set-CsAdminRole –Identity "CsUserPlus" -Cmdlets @{Add=‘Invoke-CsManagementStoreReplication‘}
最后是我给一个用户做的一个自定义角色,通过适当的增删命令,就成以下这样子了,只留下了两个需要用到的功能,其它都限制掉了:
相关链接: