Planejamento de controle de acesso baseado em função no Lync Server 2013
Tópico última modificação: 27-01-2015
Para permitir que você delegue tarefas administrativas enquanto mantém altos padrões de segurança, o Lync Server 2013 oferece RBAC (controle de acesso baseado em função). Com o RBAC, o privilégio administrativo é concedido atribuindo usuários a funções administrativas. O Lync Server 2013 inclui um conjunto avançado de funções administrativas internas e também permite que você crie novas funções e especifique uma lista personalizada de cmdlets para cada nova função. Você também pode adicionar scripts de cmdlets às tarefas permitidas de funções RBAC predefinidas e personalizadas.
Melhor segurança e centralização do servidor
Com o RBAC, o acesso e a autorização se baseiam precisamente na função do Lync Server de um usuário. Isso permite o uso da prática de segurança de "privilégios mínimos", concedendo aos administradores e usuários apenas os direitos necessários para seu trabalho.
Importante
As restrições de RBAC funcionam apenas em administradores que trabalham remotamente, usando o Lync Server Painel de Controle ou o Shell de Gerenciamento do Lync Server. Um usuário sentado em um servidor que executa o Lync Server não é restrito pelo RBAC. Portanto, a segurança física do Lync Server é importante para preservar as restrições de RBAC.
Funções e escopo
No RBAC , uma função é habilitada para usar uma lista de cmdlets, projetada para ser útil para um determinado tipo de administrador ou técnico. Um escopo é o conjunto de objetos nos quais os cmdlets definidos em uma função podem operar. Os objetos que o escopo afeta podem ser contas de usuário (agrupadas por unidade organizacional) ou servidores (agrupados por site).
A tabela a seguir lista as funções predefinidas no Lync Server e fornece uma visão geral dos tipos de tarefas que cada um pode realizar. A quarta coluna mostra a função de Microsoft Exchange Server para cada função do Lync Server, se houver uma.
Funções administrativas predefinidas
Função | Tarefas permitidas | Grupo subjacente do Active Directory | Equivalente do Exchange |
---|---|---|---|
CsAdministrator |
Pode executar todas as tarefas administrativas e modificar todas as configurações, incluindo a criação de funções e a atribuição de usuários a funções. Pode expandir uma implantação adicionando novos sites, pools e serviços. |
CSAdministrator |
Gerenciamento da Organização |
CsUserAdministrator |
Pode habilitar e desabilitar usuários para o Lync Server, mover usuários e atribuir políticas existentes aos usuários. Não é possível modificar políticas. |
CSUserAdministrator |
Destinatários de Email |
CsVoiceAdministrator |
Pode criar, configurar e gerenciar configurações e políticas relacionadas à voz. |
CSVoiceAdministrator |
Não aplicável |
CsServerAdministrator |
Pode gerenciar, monitorar e solucionar problemas de servidores e serviços. Pode impedir novas conexões com servidores, parar e iniciar serviços e aplicar atualizações de software. Não é possível fazer alterações com impacto na configuração global. |
CSServerAdministrator |
Gerenciamento de Servidor |
CsViewOnlyAdministrator |
Pode exibir a implantação, incluindo informações de usuário e servidor, para monitorar a integridade da implantação. |
CSViewOnlyAdministrator |
View-Only Gerenciamento da Organização |
CsHelpDesk |
Pode exibir a implantação, incluindo as propriedades e políticas do usuário. Pode executar tarefas de solução de problemas específicas. Não é possível alterar as propriedades ou políticas do usuário, a configuração do servidor ou os serviços. |
CSHelpDesk |
Helpdesk |
CsArchivingAdministrator |
Pode modificar a configuração e as políticas de arquivamento. |
CSArchivingAdministrator |
Gerenciamento de Retenção, Retenção Legal |
CsResponseGroupAdministrator |
Pode gerenciar a configuração do aplicativo grupo de resposta em um site. |
CSResponseGroupAdministrator |
Não aplicável |
CsLocationAdministrator |
Nível mais baixo de direitos para gerenciamento avançado de 9-1-1 (E9-1-1), incluindo a criação de locais e identificadores de rede E9-1-1 e associando-os entre si. Essa função sempre é atribuída com um escopo global. |
CSLocationAdministrator |
Não aplicável |
CsResponseGroupManager |
Pode gerenciar grupos de resposta específicos. |
CSResponseGroupManager |
Não aplicável |
CsPersistentChatAdministrator |
Pode gerenciar o recurso de Chat Persistente e salas de Chat Persistente específicas. |
CSPersistentChatAdministrator |
Não aplicável |
Todas as funções predefinidas enviadas no Lync Server têm um escopo global. Para seguir as práticas de privilégios mínimos, você não deve atribuir usuários a funções com escopo global se eles forem administrar apenas um conjunto limitado de servidores ou usuários. Para fazer isso, você pode criar funções baseadas em uma função existente, mas com um escopo mais limitado.
Criando uma função com escopo
Ao criar uma função com escopo limitado (uma função com escopo), especifique o escopo, juntamente com a função existente na qual ela se baseia e o grupo do Active Directory ao qual a função será atribuída. O grupo do Active Directory especificado já deve ser criado. O cmdlet a seguir é um exemplo de criação de uma função que tem os privilégios de uma das funções administrativas predefinidas, mas com escopo limitado. Ele cria uma nova função chamada Site01 Server Administrators
. A função tem as capacidades da função CsServerAdministrator predefinida, mas somente para os servidores localizados no site Site01. Para que esse cmdlet funcione, o site Site01 já deve estar definido e um grupo de segurança universal Site01 Server Administrators
chamado já deve existir.
New-CsAdminRole -Identity "Site01 Server Administrators" -Template CsServerAdministrator -ConfigScopes "site:Site01"
Depois que esse cmdlet for executado, Site01 Server Administrators
todos os usuários que forem membros do grupo terão privilégios de administrador do servidor para os servidores no Site01. Além disso, todos os usuários adicionados posteriormente a esse grupo de segurança universal também obtêm os privilégios dessa função. Observe que tanto a função em si quanto o grupo de segurança universal ao qual ela é atribuída são chamados Site01 Server Administrators
.
O exemplo a seguir limita o escopo do usuário em vez do escopo do servidor. Ele cria uma função Sales Users Administrator
para administrar as contas de usuário na unidade organizacional Vendas. O grupo de segurança universal SalesUsersAdministrator já deve ser criado para que esse cmdlet funcione.
New-CsAdminRole -Identity "Sales Users Administrator " -Template CsUserAdministrator -UserScopes "OU:OU=Sales, OU=Lync Tenants, DC=Domain, DC=com"
Criando uma nova função
Para criar uma função que tenha acesso a um conjunto de cmdlets que não estão em uma das funções predefinidas ou a um conjunto de scripts ou módulos, você começará novamente usando uma das funções predefinidas como modelo. Observe que os scripts e módulos que as funções devem ser capazes de executar devem ser armazenados nos seguintes locais:
O caminho do módulo do Lync, que é por padrão C:\Arquivos de Programas\Arquivos Comuns\Microsoft Lync Server 2013\Modules\Lync
O caminho do script de usuário, que é por padrão C:\Arquivos de Programas\Arquivos Comuns\Microsoft Lync Server 2013\AdminScripts
Para criar uma nova função, use o cmdlet New-CsAdminRole . Antes de executar New-CsAdminRole, você deve primeiro criar o grupo de segurança universal subjacente que será associado a essa função.
Os cmdlets a seguir servem como um exemplo de uma criação de uma nova função. Eles criam um novo tipo de função chamado MyHelpDeskScriptRole
. A nova função tem as habilidades da função CsHelpDesk predefinida e também pode executar as funções em um script chamado "testscript".
New-CsAdminRole -Identity "MyHelpDeskScriptRole" -Template CsHelpDesk -ScriptModules @{Add="testScript.ps1"}
Para que esse cmdlet funcione, primeiro você deve ter criado o grupo de segurança universal MyHelpDeskScriptRole.
Depois que esse cmdlet for executado, você poderá atribuir usuários diretamente a essa função (nesse caso, eles têm escopo global) ou criar uma função com escopo com base nessa função, conforme explicado em Criando uma função com escopo, anteriormente neste documento.
Atribuindo funções a usuários
Cada função do Lync Server é associada a um grupo de segurança universal subjacente do Active Directory. Todos os usuários que você adicionar ao grupo subjacente obtêm as habilidades dessa função.
Os exemplos nas seções anteriores criaram uma nova função e atribuiu um grupo de segurança universal existente à nova função. Para atribuir uma função existente a um ou mais usuários, adicione esses usuários ao grupo associado à função. Você pode adicionar usuários individuais e grupos de segurança universais a esses grupos.
Por exemplo, a função CsAdministrator é concedida automaticamente ao grupo de segurança universal de Administradores de CS no Active Directory. Esse grupo de segurança universal é criado no Active Directory quando você implanta o Lync Server. Para conceder esse privilégio a um usuário ou grupo, basta adicioná-lo ao grupo administradores do CS .
Um usuário pode receber várias funções RBAC sendo adicionadas aos grupos subjacentes do Active Directory que correspondem a cada função.
Observe que, quando você cria uma função, os usuários que são adicionados posteriormente ao grupo subjacente do Active Directory obtêm as habilidades dessa função.
Modificando as habilidades de uma função
Você pode modificar a lista de cmdlets e scripts que uma função pode executar. Você pode modificar os cmdlets e scripts que as funções personalizadas podem executar, mas pode modificar apenas os scripts para funções predefinidas. Cada cmdlet que você digitar pode adicionar, remover ou substituir cmdlets ou scripts.
Para modificar uma função, use o cmdlet Set-CsAdminRole . O cmdlet a seguir remove um script da função.
Set-CsAdminRole -Identity "MyHelpDeskScriptRole" -ScriptModules @{Remove="testScript.ps1"}
Planejando o RBAC
Para cada pessoa que deve receber qualquer tipo de direitos administrativos para sua implantação do Lync Server, considere exatamente quais tarefas precisam ser executadas e atribua-as a funções com o menor privilégio e escopo necessários para seu trabalho. Se necessário, você pode usar o cmdlet Set-CsAdminRole para criar uma nova função apenas com os cmdlets necessários para as tarefas dessa pessoa.
Os usuários que têm a função CsAdministrator podem criar todos os tipos de funções, incluindo funções baseadas em CsAdministrator, e atribuir usuários a eles. A prática recomendada é atribuir a função CsAdministrator a um conjunto muito pequeno de usuários confiáveis.