使用場景:
在大型的Lync統一溝通系統的日常運維中,我們需要爲不同角色的管理員分配不同的Lync管理權限,在Lync Server 2013上面就使用了基於角色的權限控制:RBAC ,它裏面分了多種權限角色,包括 CsAdministrator,CsUserAdministrator,CsVoiceAdministrator,CsServerAdministrator,CsViewOnlyAdministrator,CsHelpDesk等等,不同的角色有不同的Lync管理權限,
例如,當我們只需要分配啓用用戶與停用用戶這兩項功能給Lync的帳號管理員時,就需要用到RBAC來分配權限了。還有一種情況,當CsUserAdministrator的管理員還要管理一部分Voice Policy的任務時,這時就需要自定義一個權限組來完成這一任務。
實現目的:
1. 如何把Lync內置的角色組分配給管理員?
2. 如何查找Lync內置的角色組都包含了什麼可用的操作或可用的命令?
3.如何自定義角色組?
具體操作:
1. 如何把Lync內置的角色組分配給管理員?
在安裝Lync的過程中已經自動在ADUC上面創建多個定義好的角色,如CSUserAdministrator, CSVoiceAdministrator等,如下圖:
我們只需要簡單地把相關的用戶增加到相關的角色組上面,就擁有了對應的權限了,如下圖:
然後再使用剛剛那個用戶打開Lync控制面板,就會發現一些非Voice相關的功能就不能再用了,如下
那麼,究竟這些角色組裏面具體有一些什麼功能呢?下圖列舉了一些
2. 如何查找Lync內置的角色組都包含了什麼可用的操作或可用的命令?
如果覺得還不夠詳細,我還想知道具體到哪些命令能用,哪些不能用的話,請使用以下命令,它會把CsUserAdministrator裏面所用到所有命令都列舉出來:
Get-CsAdminRole CsUserAdministrator| Select-Object –ExpandProperty cmdlets
3.如何自定義角色組?
在實際的使用過程中,你可能需要爲CsUserAdministrator管理員增加或刪除一些不需要的功能,以滿足各種情況的需求,方法如下:
Step1: 在ADUC中創建一個通用安全組,取名爲CsUserPlus
Step2: 運行以下命令,它會以CsUserAdministrator爲模版,並作用在特定的OU下面:
New-CsAdminRole -Identity "CsUserPlus" -Template "CsUserAdministrator" -UserScopes "OU:ou=test,dc=contoso,dc=cn"
Step3:在上文我們已經知道了CsUserAdministrator具體有一些什麼命令,現在我們可以把裏面一些沒有用的給刪除掉,例如如下:Set-CsAdminRole –Identity "CsUserPlus" -Cmdlets @{Remove='Disable-CsMeetingRoom','Enable-CsMeetingRoom'}
當然,我們還可以增加一些其它命令,以滿足各種情況的需要,例如增加一個觸發CMS同步的命令:
Set-CsAdminRole –Identity "CsUserPlus" -Cmdlets @{Add='Invoke-CsManagementStoreReplication'}
最後是我給一個用戶做的一個自定義角色,通過適當的增刪命令,就成以下這樣子了,只留下了兩個需要用到的功能,其它都限制掉了:
相關鏈接: