RBAC Lync Server 2013
Vamos a ver que roles tenemos creados por defecto en nuestra implementación de Lync 2013 y cuales son los privilegios de cada uno de ellos, además de crear nuestros propios roles. En nuestro Directorio Activo tenemos una serie de grupos de seguridad Universales que se asocian a los roles de Lync Server, lo que nos permite manejar sencillamente la delegación de permisos entre nuestro personal de IT. Estos son los grupos de seguridad (Universales) creados durante una parte del proceso de instalación de Lync:
Y estos son los Roles de Lync Server los cuales están asociados los grupos de Directorio Activo mostrados
| ROL | Descripción |
|---|---|
| CSAdministrator |
Puede realizar todas las tareas administrativas y modificar todas las configuraciones, como crear roles y asignar usuarios a roles. Puede ampliar una implementación agregando nuevos sitios, grupos de servidores y servicios.
|
| CSVoiceAdministrator |
Puede crear, definir y administrar las configuraciones y las directivas relacionadas con la voz.
|
| CSUserAdministrator |
Puede habilitar y deshabilitar usuarios de Lync Server, mover usuarios y asignar directivas existentes a usuarios. No puede modificar directivas.
|
| CSResponseGroupAdministrator |
Puede administrar la configuración de la aplicación Grupo de respuesta en un sitio.
|
| CSLocationAdministrator |
Nivel mínimo de derechos para administración de 9-1-1 mejorado (E9-1-1), que incluye crear ubicaciones e identificadores de red de E9-1-1 y asociarlos entre sí. Este rol se asigna siempre con un ámbito global.
|
| CSArchivingAdministrator |
Puede modificar la configuración y las directivas de archivado.
|
| CSViewOnlyAdministrator |
Puede ver la implementación, incluida la información de usuarios y servidores, para supervisar el estado de la implementación.
|
| CSServerAdministrator |
Puede administrar, supervisar y solucionar problemas de servidores y servicios. Puede impedir nuevas conexiones con servidores, detener e iniciar servicios y aplicar actualizaciones de software. No puede efectuar cambios que afecten a la configuración global.
|
| CSHelpDesk |
Puede ver la implementación, incluidas las propiedades y directivas de usuario. Puede ejecutar determinadas tareas de solución de problemas. No puede cambiar propiedades ni directivas de usuario, configuración de servidores ni servicios.
|
| CSResponseGroupManager |
Puede administrar las colas de grupo de respuesta específicas.
|
| CsPersistentChatAdministrator |
Puede administrar la característica de chat persistente y las salas de chat persistente específicas.
|
Rol CSAdministrator, tenemos acceso a todas las ocpciones del panel de control y con acceso a crear y modificar cualquier opción
Rol CSVoiceAdministrator, tenemos acceso a cualquier parte del panel de control pero solo podemos modificar las opciones de Voz
Rol CSUserAdministrator, Puede habilitar y deshabilitar usuarios de Lync Server, mover usuarios y asignar directivas existentes a usuarios. No puede modificar directivas
Rol CSResponseGroupAdministrator, puede administrar la configuración de la aplicación Grupo de respuesta en un sitio
No puede realizar cambio alguno sobre los usuarios habilitados en Lync
Rol CSLocationAdministrator, Nivel mínimo de derechos para administración de 9-1-1 mejorado (E9-1-1), que incluye crear ubicaciones e identificadores de red de E9-1-1 y asociarlos entre sí. Este rol se asigna siempre con un ámbito global
Rol CSArchivingAdministrator, puede modificar la configuración y las directivas de archivado
Rol CSViewOnlyAdministrator, puede ver la implementación, incluida la información de usuarios y servidores, para supervisar el estado de la implementación. Los usuarios que sean miembros de este ROL tienen acceso a revisar toda la infraestructura de Lync, pero no puede hacer modificación alguna.
Rol CSServerAdministrator, puede administrar, supervisar y solucionar problemas de servidores y servicios. Puede impedir nuevas conexiones con servidores, detener e iniciar servicios y aplicar actualizaciones de software. No puede efectuar cambios que afecten a la configuración global.
Rol CSHelpDesk, puede ver la implementación, incluidas las propiedades y directivas de usuario. Puede ejecutar determinadas tareas de solución de problemas. No puede cambiar propiedades ni directivas de usuario, configuración de servidores ni servicios.
Rol CSResponseGroupManager, puede administrar las colas de grupo de respuesta específicas.
Para que el usuario pueda editar el Hunt Group, debe ser miembro del grupo CSResponseGroupManager de nuestro Directorio Activo y luego concedere del derecho de administrarlo, para ello debemos añadirlo en el propio Hunt Group
Ahora el usuario podrá acceder a configurar los Grupos de Respuesta para los que se le ha dado acceso
Rol CsPersistentChatAdministrator, puede administrar la característica de chat persistente y las salas de chat persistente específicas
Desde el menú de Persistent Chat podrá crear nuevas salas, modificadir o añadir cualquier configuración
Estos son los roles que tiene creados por defecto Lync, si queremos crear nuestros propios Roles tenemos un estupendo cmdlet para ello: New-CsAdminRole. También debemos tener mucho cuidado a la hora de asignar los distintos roles, puesto que los “por defecto” son de ámbito global, por lo que si tenemos varios sitios, etc… le daremos acceso a mas servidores y/o usuarios de los que debemos a un técnico. Antes de empezar con la creación de los distintos roles debemos tener muy claro como queremos que funcione nuestra delegación de responsabilidades, que usuarios y servidores queremos que gestione.
A la hora de crear nuestros propios roles podemos utilizar como plantilla los roles actuales, pero con un ámbito definido por ejemplo sobre una OU de nuestro Active Directory. De tal manera que los permisos delegados a nuestro personal técnico sea un ámbito más reducido, lo que nos permite tener más control sobre las tareas que delegamos a los mismos. Ahora vamos a ver como podemos crear un nuevo ROL partiendo de la plantilla de CSUserAdministrator pero en un ámbito de usuario en una OU, debemos tener en cuenta a la hora de crear nuestro ROL que el grupo universal de seguridad que utilicemos para asignar los roles de Lync debe estar previamente creado:
New-CsAdminRole -Identity “LYNC Admin Madrid” -Template CsUserAdministrator -UserScopes “OU:OU=Madrid, OU=Usuarios, OU=ASIRLAB, DC=asirlab, DC=com“
También podemos crear nuestro propio rol habilitando la ejecución de determinados cmdlets que no son los que tenemos por defecto en nuestros roles, para ello tenemos el cmdlet New-CsAdminRole:
New-CsAdminRole –Identity “LYNC HelpDesk HG” –Template CsHelpDesk –Cmdlets “Get-CsRgsAgentGroup“,”New-CsRgsAgentGroup“,”Remove-CsRgsAgentGroup“,”Set-CsRgsAgentGroup“
Ahora solo debemos agregar el usuario al grupo de seguridad “LYNC HelpDesk HG” y acceder al panel de Administración de Lync y vemos que solo tenemos acceso a las opciones de Grupos de Respuesta y limitadas opciones
dentro de los grupos de respuesta solo a la opción Grupo
Y dentro del Grupo a modificar ciertas opciones
Si ahora quisieramos agregar un más CMDLETs para este ROL tendríamos que hacerlo con Set-CsAdminRole:
Set-CsAdminRole –Identity “LYNC HelpDesk HG” –Cmdlets “Get-CsRgsAgentGroup”,”New-CsRgsAgentGroup”,”Remove-CsRgsAgentGroup”,”Set-CsRgsAgentGroup”, “Get-CsRgsQueue”,”New-CsRgsQueue”,”Remove-CsRgsQueue”,”Set-CsRgsQueue”
Si solo añadimos los nuevos cmdlets no se suman los cmdlets anteriores, sino que tenemos que colocar el listado completo cada vez que lo modifiquemos. De lo contrario el usuario solo podrá ejecutar estos últimos cmdlets establecidos:
Si ahora queremos saber que roles tiene asignados un usuario, tenemos el siguiente cmdlet: Get-CsAdminRoleAssignment
Aqui os dejo el listado CMDLETs disponibles para que tengáis claro cuales podéis añadir y cuales son sus nombres
Como véis es bastante sencillo, lo único que debemos tener claro es que permisos queremos delegar y que función tiene cada cmdlet para no ofrecer más privilegios de los deseados.
Espero que os sea de utilidad!!!
