Планирование контроля доступа на основе ролей в Lync Server 2013

Тема последнего изменения: 2015-01-27

Для делегирования административных задач при высоком стандарте обеспечения безопасности в Lync Server 2013 предлагается управление доступом на основе ролей (RBAC). С RBAC разрешения администратора предоставлены путем назначения пользователям административных ролей. Lync Server 2013 включает обширный набор встроенных административных ролей, а также позволяет создавать новые роли и определять настраиваемый список командлетов для каждой новой роли. Также можно добавлять скрипты командлетов в разрешенные задачи как предварительно заданных, так и настраиваемых ролей RBAC.

Улучшенная безопасность и централизованная защита сервера

В случае с RBAC доступ и авторизация основываются на роли сервера Lync пользователя. Это позволяет использовать правила безопасности "минимальные полномочия", предоставляя администраторам и пользователям права, необходимые для их работы.

Важно!

Ограничения RBAC действуют только для администраторов, работающих в удаленном режиме, с помощью панели управления Lync Server или командной консоли Lync Server Management. Пользователь, работающий на сервере Lync Server, не ограничивается с помощью RBAC. Следовательно, физическая безопасность вашего сервера Lync важна для сохранения ограничений RBAC.

Роли и область охвата

В RBAC роль включает использование списка командлетов, разработанных для определенного типа администратора или специалиста. Область — это набор объектов, на которые могут работать командлеты, определенные в роли. Объекты, к которым относится область действия, могут быть либо учетными записями пользователей (сгруппированными по подразделениям), либо серверами (сгруппированными по сайту).

В приведенной ниже таблице перечислены предопределенные роли в Lync Server, а также общие сведения о типах задач. В четвертом столбце показана аналогичная роль сервера Microsoft Exchange для каждой роли сервера Lync, если таковая имеется.

Предопределенные административные роли

Должность Разрешенные задачи Базовая группа Active Directory Эквивалент Exchange

CsAdministrator

Можно выполнять все административные задачи и изменять все параметры, в том числе создавать роли и назначать пользователей ролям. Развернуть развертывание можно с помощью добавления новых сайтов, пулов и служб.

CSAdministrator

Управление организациями

CsUserAdministrator

Может включать и отключать пользователей для Lync Server, перемещать пользователей и назначать существующие политики пользователям. Изменить политики нельзя.

CSUserAdministrator

Получатели почты

CsVoiceAdministrator

Можно создавать, настраивать параметры и политики для голосовой связи, а также управлять ими.

CSVoiceAdministrator

Неприменимо

CsServerAdministrator

Позволяет управлять серверами и службами и устранять неполадки с ними. Может препятствовать новым подключениям к серверам, остановке и запуску служб, а также к применению обновлений программного обеспечения. Нельзя вносить изменения, если это не повлияет на глобальную конфигурацию.

CSServerAdministrator

Управление сервером

CsViewOnlyAdministrator

Можно просматривать развертывание, включая сведения о пользователе и сервере, чтобы отслеживать состояние развертывания.

CSViewOnlyAdministrator

View-Only управление организациями

CsHelpDesk

Можно просматривать развертывание, включая свойства пользователя и политики. Может выполнять определенные задачи по устранению неполадок. Не удается изменить свойства или политики пользователя, а также конфигурацию сервера или службы.

CSHelpDesk

Службы поддержки

CsArchivingAdministrator

Можно изменять конфигурацию архивации и политики.

CSArchivingAdministrator

Управление хранением, юридическое удержание

CsResponseGroupAdministrator

Можно управлять конфигурацией приложения группы ответа на сайте.

CSResponseGroupAdministrator

Неприменимо

CsLocationAdministrator

Самый низкий уровень прав для расширенного управления 9-1-1 (E9-1-1), включая создание местоположений E9-1-1 и сетевых идентификаторов и их связь друг с другом. Эта роль всегда назначается глобальной области действия.

CSLocationAdministrator

Неприменимо

CsResponseGroupManager

Можно управлять конкретными группами ответа.

CSResponseGroupManager

Неприменимо

CsPersistentChatAdministrator

Можно управлять функцией сохраняемого чата и определенными сохраняемыми комнатами чата.

CSPersistentChatAdministrator

Неприменимо

Все предопределенные роли, отправленные в Lync Server, имеют глобальную область. Чтобы следовать рекомендациям по крайней мере, вы не должны назначать пользователей ролям с глобальной областью действия, если они будут администрировать только ограниченный набор серверов или пользователей. Для этого вы можете создавать роли, основанные на существующей роли, но с более ограниченной областью действия.

Создание роли с областью действия

Когда вы создаете роль с ограниченной областью действия (роль с областью действия), вы указываете область, а также текущую роль, на которой она основана, и ей назначена роль. Указанная группа Active Directory должна быть уже создана. Следующий командлет является примером создания роли, обладающей привилегиями одной из предварительно определенных административных ролей, но с ограниченной областью действия. Она создает новую роль с именем Site01 Server Administrators . Роль обладает возможностями предопределенной роли CsServerAdministrator, но только для серверов, расположенных на сайте Site01. Для работы этого командлета необходимо, чтобы сайт Site01 был определен, а универсальная группа безопасности с именем Site01 Server Administrators уже существовала.

New-CsAdminRole -Identity "Site01 Server Administrators" -Template CsServerAdministrator -ConfigScopes "site:Site01"

После запуска этого командлета все пользователи, входящие в эту Site01 Server Administrators группу, получат права администратора сервера для серверов в Site01. Кроме того, пользователи, которые позже добавляются в эту универсальную группу безопасности, также получают полномочия для этой роли. Обратите внимание, что и сама роль, и универсальная группа безопасности, которой она назначена, называется Site01 Server Administrators .

В следующем примере ограничивается область пользователя, а не область сервера. Она создает Sales Users Administrator роль для управления учетными записями пользователей в подразделении Sales. Для работы этого командлета необходимо, чтобы на нем была создана универсальная группа безопасности SalesUsersAdministrator.

New-CsAdminRole -Identity "Sales Users Administrator " -Template CsUserAdministrator -UserScopes "OU:OU=Sales, OU=Lync Tenants, DC=Domain, DC=com"

Создание новой роли

Чтобы создать роль, которая имеет доступ к набору командлетов, не либо в одной из предопределенных ролей, либо в наборе сценариев или модулей, вы снова начнете использовать одну из предопределенных ролей в качестве шаблона. Обратите внимание на то, что сценарии и модули, которые могут быть доступны для выполнения, должны храниться в следующих папках:

  • Путь к модулю Lync по умолчанию C: \ Program Files — \ Общие файлы \ Microsoft Lync Server 2013 \ modules \ Lync

  • Путь к пользовательскому сценарию по умолчанию C: \ Program Files, файлы в \ стандарте \ Microsoft Lync Server 2013 \ AdminScripts

Чтобы создать новую роль, вы можете использовать командлет New-CsAdminRole . Перед запуском New-CsAdminRole необходимо сначала создать основную универсальную группу безопасности, которая будет связана с этой ролью.

Следующие командлеты служат примером создания новой роли. Они создают новый тип роли MyHelpDeskScriptRole . Новая роль обладает возможностями предопределенной роли CsHelpDesk и может дополнительно выполнять функции в сценарии с именем "TestScript".

New-CsAdminRole -Identity "MyHelpDeskScriptRole" -Template CsHelpDesk -ScriptModules @{Add="testScript.ps1"}

Чтобы этот командлет работал, сначала необходимо создать универсальную группу безопасности MyHelpDeskScriptRole.

После запуска этого командлета вы можете назначить пользователей непосредственно этой роли (в этом случае она имеет глобальную область) или создать роль с областью на основе этой роли, как объясняется, как создать роль с областью, ранее в этом документе.

Назначение ролей пользователям

Каждая роль сервера Lync связана с базовой группой безопасности Active Directory. Любые пользователи, добавленные в основную группу, получают возможности этой роли.

В примерах, приведенных в предыдущих разделах, создана новая роль, и ей назначается существующая универсальная группа безопасности для новой роли. Чтобы назначить существующую роль для одного или нескольких пользователей, добавьте этих пользователей в группу, связанную с этой ролью. Вы можете добавить в эти группы как отдельные пользователи, так и универсальные группы безопасности.

Например, роль CsAdministrator автоматически предоставляется в универсальную группу безопасности " Администраторы CS " в службе каталогов Active Directory. Эта универсальная группа безопасности создается в службе каталогов Active Directory при развертывании сервера Lync Server. Чтобы предоставить пользователю или группе эту привилегию, вы можете просто добавить их в группу " Администраторы CS ".

Пользователю может быть предоставлено несколько ролей RBAC путем добавления в базовые группы Active Directory, соответствующие каждой роли.

Обратите внимание, что при создании роли пользователи, которые позже добавляются в основную группу Active Directory, получают возможности этой роли.

Изменение возможностей роли

Вы можете изменить список командлетов и сценариев, которые может выполнять роль. Вы можете изменить как командлеты, так и сценарии, которые могут запускать пользовательские роли, но вы можете изменять только сценарии для предопределенных ролей. Каждый из введенных командлетов может добавлять, удалять или заменять командлеты или сценарии.

Чтобы изменить роль, используйте командлет Set-CsAdminRole . Следующий командлет удаляет один сценарий из роли.

Set-CsAdminRole -Identity "MyHelpDeskScriptRole" -ScriptModules @{Remove="testScript.ps1"}

Планирование для RBAC

Для каждого пользователя, которому необходимо предоставить права администратора для развертывания Lync Server, необходимо точно определить, какие задачи они должны выполнить, а затем назначить им роли с минимальными полномочиями и областью, необходимыми для их работы. При необходимости можно использовать командлет Set-CsAdminRole , чтобы создать новую роль с командлетами, необходимыми для задач этого пользователя.

Пользователи, имеющие роль CsAdministrator, могут создавать все типы ролей, в том числе роли на основе CsAdministrator и назначать им пользователей. Рекомендуется назначать роль CsAdministrator очень маленькому набору доверенных пользователей.