Planification du contrôle d’accès basé sur un rôle dans Lync Server 2013
Rubrique Dernière modification : 2015-01-27
Pour vous permettre de déléguer des tâches administratives tout en conservant des normes élevées de sécurité, Lync Server 2013 offre un contrôle d’accès en fonction du rôle (RBAC). Avec RBAC, le privilège d’administration est accordé en attribuant des utilisateurs à des rôles d’administration. Lync Server 2013 inclut un ensemble complet de rôles d’administration intégrés, et vous permet également de créer de nouveaux rôles et de spécifier une liste personnalisée d’applets de commande pour chaque nouveau rôle. Vous pouvez également ajouter des scripts d’applets de commande aux tâches autorisées des rôles RBAC prédéfinis et personnalisés.
Amélioration de la sécurité et de la centralisation des serveurs
Avec RBAC, l’accès et l’autorisation sont basés précisément sur le rôle serveur Lync d’un utilisateur. Cela permet d’utiliser la pratique de sécurité du « privilège minimum », en accordant aux administrateurs et aux utilisateurs uniquement les droits nécessaires à leur travail.
Important
Les restrictions RBAC fonctionnent uniquement sur les administrateurs travaillant à distance, à l’aide de Lync Server Panneau de configuration ou de Lync Server Management Shell. Un utilisateur assis sur un serveur exécutant Lync Server n’est pas limité par RBAC. Par conséquent, la sécurité physique de votre serveur Lync est importante pour préserver les restrictions RBAC.
Rôles et étendue
Dans RBAC, un rôle est activé pour utiliser une liste d’applets de commande, conçue pour être utile pour un certain type d’administrateur ou de technicien. Une étendue est l’ensemble d’objets sur lesquels les applets de commande définies dans un rôle peuvent fonctionner. Les objets affectés par l’étendue peuvent être des comptes d’utilisateur (regroupés par unité d’organisation) ou des serveurs (regroupés par site).
Le tableau suivant répertorie les rôles prédéfinis dans Lync Server et donne une vue d’ensemble des types de tâches que chacun peut effectuer. La quatrième colonne affiche le rôle de Microsoft Exchange Server similaire pour chaque rôle serveur Lync, s’il en existe un.
Rôles d’administration prédéfinis
| Rôle | Tâches autorisées | Groupe Active Directory sous-jacent | Exchange équivalent |
|---|---|---|---|
CsAdministrator |
Peut effectuer toutes les tâches d’administration et modifier tous les paramètres, y compris la création de rôles et l’attribution d’utilisateurs à des rôles. Peut développer un déploiement en ajoutant de nouveaux sites, pools et services. |
CSAdministrator |
Gestion de l’organisation |
CsUserAdministrator |
Peut activer et désactiver des utilisateurs pour Lync Server, déplacer des utilisateurs et affecter des stratégies existantes aux utilisateurs. Impossible de modifier les stratégies. |
CSUserAdministrator |
Destinataires du courrier |
CsVoiceAdministrator |
Peut créer, configurer et gérer des paramètres et des stratégies liés à la voix. |
CSVoiceAdministrator |
Non applicable |
CsServerAdministrator |
Peut gérer, surveiller et dépanner des serveurs et des services. Peut empêcher de nouvelles connexions à des serveurs, arrêter et démarrer des services, et appliquer des mises à jour logicielles. Impossible d’apporter des modifications avec un impact global sur la configuration. |
CSServerAdministrator |
Gestion des serveurs |
CsViewOnlyAdministrator |
Peut afficher le déploiement, y compris les informations sur l’utilisateur et le serveur, afin de surveiller l’intégrité du déploiement. |
CSViewOnlyAdministrator |
gestion de l’organisation View-Only |
CsHelpDesk |
Peut afficher le déploiement, y compris les propriétés et les stratégies de l’utilisateur. Peut exécuter des tâches de dépannage spécifiques. Impossible de modifier les propriétés ou stratégies de l’utilisateur, la configuration du serveur ou les services. |
CSHelpDesk |
Helpdesk |
CsArchivingAdministrator |
Peut modifier la configuration et les stratégies d’archivage. |
CSArchivingAdministrator |
Gestion de la rétention, conservation légale |
CsResponseGroupAdministrator |
Peut gérer la configuration de l’application Response Group au sein d’un site. |
CSResponseGroupAdministrator |
Non applicable |
CsLocationAdministrator |
Niveau de droits le plus bas pour la gestion améliorée du 9-1-1 (E9-1-1), notamment la création d’emplacements E9-1-1 et d’identificateurs réseau, et leur association. Ce rôle est toujours attribué avec une étendue globale. |
CSLocationAdministrator |
Non applicable |
CsResponseGroupManager |
Peut gérer des groupes de réponses spécifiques. |
CSResponseGroupManager |
Non applicable |
CsPersistentChatAdministrator |
Peut gérer la fonctionnalité de conversation permanente et des salles de conversation permanente spécifiques. |
CSPersistentChatAdministrator |
Non applicable |
Tous les rôles prédéfinis fournis dans Lync Server ont une étendue globale. Pour suivre les pratiques de privilège minimum, vous ne devez pas affecter d’utilisateurs à des rôles d’étendue globale s’ils vont administrer uniquement un ensemble limité de serveurs ou d’utilisateurs. Pour ce faire, vous pouvez créer des rôles basés sur un rôle existant, mais avec une étendue plus limitée.
Création d’un rôle délimité
Lorsque vous créez un rôle avec une étendue limitée (un rôle délimité), vous spécifiez l’étendue, ainsi que le rôle existant sur lequel il est basé et le groupe Active Directory auquel le rôle doit être attribué. Le groupe Active Directory que vous spécifiez doit déjà être créé. L’applet de commande suivante est un exemple de création d’un rôle qui a les privilèges d’un des rôles d’administration prédéfinis, mais dont l’étendue est limitée. Il crée un nouveau rôle appelé Site01 Server Administrators. Le rôle a les capacités du rôle CsServerAdministrator prédéfini, mais uniquement pour les serveurs situés dans le site Site01. Pour que cette applet de commande fonctionne, le site Site01 doit déjà être défini et un groupe de sécurité universel nommé Site01 Server Administrators doit déjà exister.
New-CsAdminRole -Identity "Site01 Server Administrators" -Template CsServerAdministrator -ConfigScopes "site:Site01"
Une fois cette applet de commande exécutée, tous les utilisateurs membres du Site01 Server Administrators groupe disposent de privilèges d’administrateur de serveur pour les serveurs dans Site01. En outre, tous les utilisateurs ajoutés ultérieurement à ce groupe de sécurité universel bénéficient également des privilèges de ce rôle. Notez que le rôle lui-même et le groupe de sécurité universel auquel il est affecté sont appelés Site01 Server Administrators.
L’exemple suivant limite l’étendue utilisateur au lieu de l’étendue du serveur. Il crée un Sales Users Administrator rôle pour administrer les comptes d’utilisateur dans l’unité d’organisation Sales. Le groupe de sécurité universel SalesUsersAdministrator doit déjà être créé pour que cette applet de commande fonctionne.
New-CsAdminRole -Identity "Sales Users Administrator " -Template CsUserAdministrator -UserScopes "OU:OU=Sales, OU=Lync Tenants, DC=Domain, DC=com"
Création d’un rôle
Pour créer un rôle qui a accès à un ensemble d’applets de commande qui ne sont pas dans l’un des rôles prédéfinis ou à un ensemble de scripts ou de modules, vous commencez à nouveau par utiliser l’un des rôles prédéfinis comme modèle. Notez que les scripts et modules que les rôles doivent pouvoir exécuter doivent être stockés aux emplacements suivants :
Chemin du module Lync, qui est par défaut C:\Program Files\Common Files\Microsoft Lync Server 2013\Modules\Lync
Chemin d’accès du script utilisateur, qui est par défaut C:\Program Files\Common Files\Microsoft Lync Server 2013\AdminScripts
Pour créer un nouveau rôle, utilisez l’applet de commande New-CsAdminRole . Avant d’exécuter New-CsAdminRole, vous devez d’abord créer le groupe de sécurité universel sous-jacent qui sera associé à ce rôle.
Les applets de commande suivantes servent d’exemple de création d’un rôle. Ils créent un nouveau type de rôle appelé MyHelpDeskScriptRole. Le nouveau rôle a les capacités du rôle CsHelpDesk prédéfini et peut également exécuter les fonctions dans un script nommé « testscript ».
New-CsAdminRole -Identity "MyHelpDeskScriptRole" -Template CsHelpDesk -ScriptModules @{Add="testScript.ps1"}
Pour que cette applet de commande fonctionne, vous devez d’abord avoir créé le groupe de sécurité universel MyHelpDeskScriptRole.
Une fois cette applet de commande exécutée, vous pouvez affecter des utilisateurs directement à ce rôle (auquel cas ils ont une étendue globale) ou créer un rôle délimité en fonction de ce rôle, comme expliqué dans La création d’un rôle délimité, précédemment dans ce document.
Attribution de rôles à des utilisateurs
Chaque rôle serveur Lync est associé à un groupe de sécurité universel Active Directory sous-jacent. Tous les utilisateurs que vous ajoutez au groupe sous-jacent bénéficient des capacités de ce rôle.
Les exemples des sections précédentes ont créé un nouveau rôle et affecté un groupe de sécurité universel existant au nouveau rôle. Pour attribuer un rôle existant à un ou plusieurs utilisateurs, ajoutez ces utilisateurs au groupe associé au rôle. Vous pouvez ajouter des utilisateurs individuels et des groupes de sécurité universels à ces groupes.
Par exemple, le rôle CsAdministrator est automatiquement accordé au groupe de sécurité universel Administrateurs CS dans Active Directory. Ce groupe de sécurité universel est créé dans Active Directory lorsque vous déployez Lync Server. Pour accorder ce privilège à un utilisateur ou à un groupe, vous pouvez simplement l’ajouter au groupe Administrateurs CS .
Un utilisateur peut recevoir plusieurs rôles RBAC en étant ajouté aux groupes Active Directory sous-jacents qui correspondent à chaque rôle.
Notez que lorsque vous créez un rôle, les utilisateurs qui sont ajoutés ultérieurement au groupe Active Directory sous-jacent obtiennent les capacités de ce rôle.
Modification des capacités d’un rôle
Vous pouvez modifier la liste des applets de commande et des scripts qu’un rôle peut exécuter. Vous pouvez modifier les applets de commande et les scripts que les rôles personnalisés peuvent exécuter, mais vous pouvez modifier uniquement les scripts pour les rôles prédéfinis. Chaque applet de commande que vous tapez peut ajouter, supprimer ou remplacer des applets de commande ou des scripts.
Pour modifier un rôle, utilisez l’applet de commande Set-CsAdminRole . L’applet de commande suivante supprime un script du rôle.
Set-CsAdminRole -Identity "MyHelpDeskScriptRole" -ScriptModules @{Remove="testScript.ps1"}
Planification du contrôle d’accès en fonction du rôle (RBAC)
Pour chaque personne qui doit disposer de tout type de droits d’administration pour votre déploiement de Lync Server, réfléchissez exactement aux tâches qu’elle doit effectuer, puis attribuez-lui les rôles avec les privilèges et l’étendue les moins élevés nécessaires à son travail. Si nécessaire, vous pouvez utiliser l’applet de commande Set-CsAdminRole pour créer un rôle avec uniquement les applets de commande nécessaires pour les tâches de cette personne.
Les utilisateurs qui ont le rôle CsAdministrator peuvent créer tous les types de rôles, y compris les rôles basés sur CsAdministrator, et leur attribuer des utilisateurs. La meilleure pratique consiste à attribuer le rôle CsAdministrator à un très petit ensemble d’utilisateurs approuvés.