Planen für die rollenbasierte Zugriffssteuerung in Lync Server 2013Planning for role-based access control in Lync Server 2013

 

Letztes Änderungsdatum des Themas: 2015-01-27Topic Last Modified: 2015-01-27

Damit Sie administrative Aufgaben delegieren und gleichzeitig hohe Standards für die Sicherheit aufrecht erhalten können, bietet lync Server 2013 rollenbasierte Zugriffssteuerung.To enable you to delegate administrative tasks while maintaining high standards for security, Lync Server 2013 offers role-based access control (RBAC). Mit RBAC wird Administratorprivilegien gewährt, indem Benutzeradministratorrollen zugewiesen werden.With RBAC, administrative privilege is granted by assigning users to administrative roles. Lync Server 2013 umfasst zahlreiche integrierte Administratorrollen und ermöglicht Ihnen außerdem, neue Rollen zu erstellen und eine benutzerdefinierte Liste mit Cmdlets für jede neue Rolle festzulegen.Lync Server 2013 includes a rich set of built-in administrative roles, and also enables you to create new roles and specify a custom list of cmdlets for each new role. Sie können auch Skripten von Cmdlets zu den zulässigen Aufgaben von vordefinierten und benutzerdefinierten RBAC-Rollen hinzufügen.You can also add scripts of cmdlets to the allowed tasks of both predefined and custom RBAC roles.

Bessere Server Sicherheit und ZentralisierungBetter Server Security and Centralization

Mit RBAC basieren Zugriff und Autorisierung exakt auf der lync-Server Rolle eines Benutzers.With RBAC, access and authorization is based precisely on a user’s Lync Server role. Auf diese Weise wird die Verwendung der Sicherheitspraxis von "Least Privilege" ermöglicht, sodass Administratoren und Benutzern nur die Rechte gewährt werden, die für Ihren Auftrag erforderlich sind.This enables use of the security practice of "least privilege," granting administrators and users only the rights that are necessary for their job.

Wichtig

RBAC-Einschränkungen funktionieren nur für Administratoren, die Remote arbeiten, entweder über die lync Server-Systemsteuerung oder die lync Server-Verwaltungsshell.RBAC restrictions work only on administrators working remotely, using either the Lync Server Control Panel or Lync Server Management Shell. Ein Benutzer, der auf einem Server mit lync Server sitzt, ist nicht durch RBAC eingeschränkt.A user sitting at a server running Lync Server is not restricted by RBAC. Daher ist die physische Sicherheit Ihres lync-Servers wichtig, um RBAC-Einschränkungen beizubehalten.Therefore, physical security of your Lync Server is important to preserve RBAC restrictions.

Rollen und BereichRoles and Scope

In RBAC ist eine Rolle aktiviert, um eine Liste von Cmdlets zu verwenden, die für einen bestimmten Typ von Administrator oder Techniker nützlich sein sollen.In RBAC, a role is enabled to use a list of cmdlets, designed to be useful for a certain type of administrator or technician. Ein Bereich ist die Gruppe von Objekten, auf die die in einer Rolle definierten Cmdlets angewendet werden können.A scope is the set of objects which the cmdlets defined in a role can operate on. Die Objekte, auf die sich der Bereich auswirkt, können entweder Benutzerkonten (gruppiert nach Organisationseinheit) oder Server (gruppiert nach Website) sein.The objects that scope affects can be either user accounts (grouped by organizational unit) or servers (grouped by site).

In der folgenden Tabelle sind die vordefinierten Rollen in lync Server aufgelistet, und es wird eine allgemeine Übersicht über die einzelnen Aufgabentypen angezeigt.The following table lists the predefined roles in Lync Server, and gives a general overview of the types of tasks each can do. Die vierte Spalte zeigt die ähnliche Microsoft Exchange-Serverrolle für jede lync-Serverrolle, sofern vorhanden.The fourth column shows the similar Microsoft Exchange Server role for each Lync Server role, if there is one.

Vordefinierte AdministratorrollenPredefined Administrative Roles

RolleRole Zulässige AufgabenTasks allowed Zugrunde liegende Active Directory-GruppeUnderlying Active Directory group Exchange-ÄquivalentExchange equivalent

CsAdministratorCsAdministrator

Kann alle administrativen Aufgaben ausführen und alle Einstellungen ändern, einschließlich des Erstellens von Rollen und Zuweisen von Benutzern zu Rollen.Can perform all administrative tasks and modify all settings, including creating roles and assigning users to roles. Kann eine Bereitstellung erweitern, indem neue Websites, Pools und Dienste hinzugefügt werden.Can expand a deployment by adding new sites, pools, and services.

CSAdministratorCSAdministrator

OrganisationsverwaltungOrganization Management

CsUserAdministratorCsUserAdministrator

Kann Benutzer für lync Server aktivieren und deaktivieren, Benutzer verschieben und Benutzern vorhandene Richtlinien zuweisen.Can enable and disable users for Lync Server, move users and assign existing policies to users. Richtlinien können nicht geändert werden.Cannot modify policies.

CSUserAdministratorCSUserAdministrator

E-Mail-EmpfängerMail Recipients

CsVoiceAdministratorCsVoiceAdministrator

Kann sprachbezogene Einstellungen und Richtlinien erstellen, konfigurieren und verwalten.Can create, configure, and manage voice-related settings and policies.

CSVoiceAdministratorCSVoiceAdministrator

Nicht zutreffendNot applicable

CsServerAdministratorCsServerAdministrator

Kann Server und Dienste verwalten, überwachen und Problembehandlung durchführen.Can manage, monitor, and troubleshoot servers and services. Kann neue Verbindungen mit Servern verhindern, Dienste beenden und starten und Softwareupdates anwenden.Can prevent new connections to servers, stop and start services, and apply software updates. Mit Auswirkungen auf die globale Konfiguration können keine Änderungen vorgenommen werden.Cannot make changes with global configuration impact.

CSServerAdministratorCSServerAdministrator

Server VerwaltungServer Management

CsViewOnlyAdministratorCsViewOnlyAdministrator

Kann die Bereitstellung, einschließlich Benutzer-und Server Informationen, anzeigen, um den Bereitstellungsstatus zu überwachen.Can view the deployment, including user and server information, in order to monitor deployment health.

CSViewOnlyAdministratorCSViewOnlyAdministrator

Organisationsverwaltung mit AnsichtView-Only Organization Management

CsHelpDeskCsHelpDesk

Kann die Bereitstellung anzeigen, einschließlich der Eigenschaften und Richtlinien des Benutzers.Can view the deployment, including user's properties and policies. Kann bestimmte Problembehandlungsaufgaben ausführen.Can run specific troubleshooting tasks. Benutzereigenschaften oder-Richtlinien, Serverkonfiguration oder Dienste können nicht geändert werden.Cannot change user properties or policies, server configuration, or services.

CSHelpDeskCSHelpDesk

HelpdeskHelpDesk

CsArchivingAdministratorCsArchivingAdministrator

Kann die Archivierungskonfiguration und-Richtlinien ändern.Can modify archiving configuration and policies.

CSArchivingAdministratorCSArchivingAdministrator

Aufbewahrungsverwaltung, rechtliche AufbewahrungRetention Management, Legal Hold

CsResponseGroupAdministratorCsResponseGroupAdministrator

Kann die Konfiguration der reaktionsgruppenanwendung innerhalb einer Website verwalten.Can manage the configuration of the Response Group application within a site.

CSResponseGroupAdministratorCSResponseGroupAdministrator

Nicht zutreffendNot applicable

CsLocationAdministratorCsLocationAdministrator

Niedrigste Ebene der Rechte für eine erweiterte Verwaltung von 9-1-1 (E9-1-1), einschließlich der Erstellung von E9-1-1-Speicherorten und Netzwerk Bezeichnern sowie deren Zuordnung untereinander.Lowest level of rights for Enhanced 9-1-1 (E9-1-1) management, including creating E9-1-1 locations and network identifiers, and associating these with each other. Diese Rolle wird immer mit einem globalen Bereich zugewiesen.This role is always assigned with a global scope.

CSLocationAdministratorCSLocationAdministrator

Nicht zutreffendNot applicable

CsResponseGroupManagerCsResponseGroupManager

Kann bestimmte Antwortgruppen verwalten.Can manage specific response groups.

CSResponseGroupManagerCSResponseGroupManager

Nicht zutreffendNot applicable

CsPersistentChatAdministratorCsPersistentChatAdministrator

Kann das Feature für beständigen Chat und bestimmte beständige Chatrooms verwalten.Can manage the Persistent Chat feature and specific Persistent Chat rooms.

CSPersistentChatAdministratorCSPersistentChatAdministrator

Nicht zutreffendNot applicable

Alle vordefinierten Rollen, die in lync Server ausgeliefert werden, verfügen über einen globalen Bereich.All predefined roles shipped in Lync Server have a global scope. Wenn Sie nur eine begrenzte Anzahl von Servern oder Benutzern verwalten möchten, sollten Sie Benutzern keine Rollen mit globalem Gültigkeitsbereich zuweisen, wenn Sie nur eine begrenzte Anzahl von Servern oder Benutzern verwalten möchten.To follow least privilege practices, you should not assign users to roles with global scope if they are going to administer only a limited set of servers or users. Um dies zu erreichen, können Sie Rollen erstellen, die auf einer vorhandenen Rolle basieren, jedoch mit einem eingeschränkten Bereich.To accomplish this, you can create roles which are based on an existing role, but with a more limited scope.

Erstellen einer Rolle im Bereich "Bereich"Creating a Scoped Role

Wenn Sie eine Rolle mit einem eingeschränkten Bereich (einer Rolle mit Gültigkeitsbereich) erstellen, geben Sie den Bereich zusammen mit der vorhandenen Rolle an, auf der er basiert, und der Active Directory-Gruppe, der die Rolle zugewiesen werden soll.When you create a role with limited scope (a scoped role), you specify the scope, along with the existing role it is based on and the Active Directory group to be assigned the role. Die von Ihnen angegebene Active Directory-Gruppe muss bereits erstellt sein.The Active Directory group you specify must already be created. Das folgende Cmdlet ist ein Beispiel für das Erstellen einer Rolle, die über die Privilegien einer vordefinierten Administratorrolle verfügt, jedoch mit begrenztem Umfang.The following cmdlet is an example of a creating a role which has the privileges of one of the pre-defined administrative roles, but with limited scope. Sie erstellt eine neue Rolle mit Site01 Server Administratorsdem Namen.It creates a new role called Site01 Server Administrators. Die Rolle verfügt über die Fähigkeiten der vordefinierten CsServerAdministrator-Rolle, aber nur für die Server, die sich auf der Site01-Website befinden.The role has the abilities of the predefined CsServerAdministrator role, but only for the servers located in the Site01 site. Damit dieses Cmdlet funktioniert, muss die Site01-Website bereits definiert sein, und es muss bereits eine Univers Site01 Server Administrators Elle Sicherheitsgruppe mit dem Namen vorhanden sein.For this cmdlet to work, the Site01 site must already be defined, and a universal security group named Site01 Server Administrators must already exist.

New-CsAdminRole -Identity "Site01 Server Administrators" -Template CsServerAdministrator -ConfigScopes "site:Site01"

Nachdem dieses Cmdlet ausgeführt wurde, verfügen alle Benutzer, die Mitglieder Site01 Server Administrators der Gruppe sind, über Serveradministratorrechte für die Server in Site01.After this cmdlet runs, all users who are members of the Site01 Server Administrators group will have server administrator privileges for the servers in Site01. Darüber hinaus erhalten alle Benutzer, die dieser universellen Sicherheitsgruppe später hinzugefügt werden, auch die Privilegien dieser Rolle.Additionally, any users who are later added to this universal security group also gain the privileges of this role. Beachten Sie, dass die Rolle selbst und die universelle Sicherheitsgruppe, der Sie zugewiesen ist Site01 Server Administrators, aufgerufen werden.Note that both the role itself, and the universal security group it is assigned to are called Site01 Server Administrators.

Im folgenden Beispiel wird der Benutzerbereich anstelle des Serverbereichs eingeschränkt.The following example limits user scope instead of server scope. Sie erstellt eine Sales Users Administrator Rolle, um die Benutzerkonten in der Organisationseinheit "Sales" zu verwalten.It creates a Sales Users Administrator role to administer the user accounts in the Sales organizational unit. Die universelle Sicherheitsgruppe SalesUsersAdministrator muss bereits erstellt sein, damit dieses Cmdlet funktioniert.The SalesUsersAdministrator universal security group must already be created for this cmdlet to work.

New-CsAdminRole -Identity "Sales Users Administrator " -Template CsUserAdministrator -UserScopes "OU:OU=Sales, OU=Lync Tenants, DC=Domain, DC=com"

Erstellen einer neuen RolleCreating a New Role

Zum Erstellen einer Rolle, die Zugriff auf eine Reihe von Cmdlets hat, die nicht in einer der vordefinierten Rollen enthalten sind, oder auf eine Reihe von Skripten oder Modulen, verwenden Sie erneut eine der vordefinierten Rollen als Vorlage.To create a role that has access to a set of cmdlets not in one of the predefined roles, or to a set of scripts or modules, you again start by using one of the predefined roles as a template. Beachten Sie, dass Skripts und Module, die Rollen ausführen können, an den folgenden Speicherorten gespeichert werden müssen:Note that scripts and modules that roles are to be able to run must be stored in the following locations:

  • Der lync-Modul Pfad, der standardmäßig C lautet\: Program\Files Common\Files Microsoft lync Server\2013\modules lyncThe Lync module path, which is by default C:\Program Files\Common Files\Microsoft Lync Server 2013\Modules\Lync

  • Der Benutzer Skriptpfad, der standardmäßig C lautet:\Program Files\Common Files\Microsoft lync Server 2013\AdminScriptsThe user script path, which is by default C:\Program Files\Common Files\Microsoft Lync Server 2013\AdminScripts

Zum Erstellen einer neuen Rolle verwenden Sie das Cmdlet New-CsAdminRole .To make a new role, you use the New-CsAdminRole cmdlet. Bevor Sie New-CsAdminRoleausführen, müssen Sie zuerst die zugrunde liegende universelle Sicherheitsgruppe erstellen, die dieser Rolle zugeordnet ist.Before running New-CsAdminRole, you must first create the underlying universal security group that will be associated with this role.

Die folgenden Cmdlets dienen als Beispiel für das Erstellen einer neuen Rolle.The following cmdlets serve as an example of a creating a new role. Sie erstellen einen neuen Rollentyp mit MyHelpDeskScriptRoledem Namen.They create a new role type called MyHelpDeskScriptRole. Die neue Rolle verfügt über die Fähigkeiten der vordefinierten CsHelpDesk-Rolle und kann die Funktionen zusätzlich in einem Skript mit dem Namen "testscript" ausführen.The new role has the abilities of the predefined CsHelpDesk role, and can additionally run the functions in a script named “testscript”.

New-CsAdminRole -Identity "MyHelpDeskScriptRole" -Template CsHelpDesk -ScriptModules @{Add="testScript.ps1"}

Damit dieses Cmdlet funktioniert, müssen Sie zuerst die universelle Sicherheitsgruppe MyHelpDeskScriptRole erstellt haben.For this cmdlet to work, you must have first created the universal security group MyHelpDeskScriptRole.

Nachdem dieses Cmdlet ausgeführt wurde, können Sie Benutzer dieser Rolle direkt zuweisen (in diesem Fall verfügen Sie über einen globalen Bereich), oder Sie können auf der Grundlage dieser Rolle eine Bereichs Rolle erstellen, wie unter Erstellen einer Rolle im Bereich zuvor in diesem Dokument erläutert.After this cmdlet runs, you can assign users directly to this role (in which case they have global scope), or create a scoped role based on this role, as explained in Creating a Scoped Role, previously in this document.

Zuweisen von Rollen zu BenutzernAssigning Roles to Users

Jeder lync-Server Rolle ist eine zugrunde liegende universelle Active Directory-Sicherheitsgruppe zugeordnet.Each Lync Server role is associated with an underlying Active Directory universal security group. Alle Benutzer, die Sie der zugrunde liegenden Gruppe hinzufügen, erhalten die Fähigkeiten dieser Rolle.Any users who you add to the underlying group gain the abilities of that role.

In den Beispielen in den vorherigen Abschnitten wurde eine neue Rolle erstellt und der neuen Rolle eine vorhandene universelle Sicherheitsgruppe zugewiesen.The examples in the preceding sections both created a new role and assigned an existing universal security group to the new role. Wenn Sie einer oder mehreren Benutzern eine vorhandene Rolle zuweisen möchten, fügen Sie diese Benutzer der Gruppe hinzu, die der Rolle zugeordnet ist.To assign an existing role to one or more users, add those users to the group associated with the role. Sie können diesen Gruppen sowohl einzelne Benutzer als auch universelle Sicherheitsgruppen hinzufügen.You can add both individual users and universal security groups to these groups.

Beispielsweise wird der CsAdministrator -Rolle automatisch die universelle Sicherheitsgruppe CS-Administratoren in Active Directory gewährt.For example, the CsAdministrator role is automatically granted to the CS Administrators universal security group in Active Directory. Diese universelle Sicherheitsgruppe wird in Active Directory erstellt, wenn Sie lync Server bereitstellen.This universal security group is created in Active Directory when you deploy Lync Server. Um einem Benutzer oder einer Gruppe diese Berechtigung zu erteilen, können Sie ihn einfach der Gruppe CS-Administratoren hinzufügen.To grant a user or group this privilege, you can simply add them to the CS Administrators group.

Einem Benutzer können mehrere RBAC-Rollen zugewiesen werden, indem er zu den zugrunde liegenden Active Directory-Gruppen hinzugefügt wird, die jeder Rolle entsprechen.A user can be given multiple RBAC roles by being added to the underlying Active Directory groups that correspond to each role.

Beachten Sie, dass Benutzer, die später der zugrunde liegenden Active Directory-Gruppe hinzugefügt werden, die Fähigkeiten dieser Rolle erhalten, wenn Sie eine Rolle erstellen.Note that when you create a role, users who are later added to the underlying Active Directory group gain the abilities of that role.

Ändern der Fähigkeiten einer RolleModifying the Abilities of a Role

Sie können die Liste der Cmdlets und Skripts ändern, die von einer Rolle ausgeführt werden können.You can modify the list of cmdlets and scripts that a role can run. Sie können sowohl die Cmdlets und Skripts ändern, die benutzerdefinierte Rollen ausführen können, aber Sie können nur die Skripts für vordefinierte Rollen ändern.You can modify both the cmdlets and scripts that custom roles can run, but you can modify only the scripts for predefined roles. Jedes von Ihnen eingegebene Cmdlet kann Cmdlets oder Skripts hinzufügen, entfernen oder ersetzen.Each cmdlet you type can add, remove, or replace cmdlets or scripts.

Wenn Sie eine Rolle ändern möchten, verwenden Sie das Cmdlet " Satz-CsAdminRole ".To modify a role, use the Set-CsAdminRole cmdlet. Das folgende Cmdlet entfernt ein Skript aus der Rolle.The following cmdlet removes one script from the role.

Set-CsAdminRole -Identity "MyHelpDeskScriptRole" -ScriptModules @{Remove="testScript.ps1"}

Planen für RBACPlanning for RBAC

Berücksichtigen Sie für jede Person, die für Ihre lync Server-Bereitstellung jede Art von Administratorrechten erhalten soll, genau, welche Aufgaben Sie durchführen müssen, und weisen Sie Sie den Rollen mit den für Ihren Auftrag erforderlichen geringsten Rechten und Umfang zu.For each person who is to be given any kind of administrative rights for your Lync Server deployment, consider exactly which tasks they need to perform, then assign them to roles with the least privilege and scope necessary for their job. Falls erforderlich, können Sie das Cmdlet " Satz-CsAdminRole " verwenden, um eine neue Rolle mit nur den für die Aufgaben dieser Person erforderlichen Cmdlets zu erstellen.If necessary, you can use the Set-CsAdminRole cmdlet to create a new role with only the cmdlets necessary for this person’s tasks.

Benutzer mit der CsAdministrator-Rolle können alle Typen von Rollen, einschließlich Rollen basierend auf CsAdministrator, erstellen und Ihnen Benutzer zuweisen.Users who have the CsAdministrator role can create all types of roles, including roles based on CsAdministrator, and assign users to them. Die bewährte Methode besteht darin, die CsAdministrator-Rolle einem sehr kleinen Satz vertrauenswürdiger Benutzer zuzuweisen.The best practice is to assign the CsAdministrator role to a very small set of trusted users.