none
Ролевая модель - головной офис и филиалы RRS feed

  • Общие обсуждения

  • Добрый день!

    Опишу ситуацию: есть головной офис и 2-3 филиал, в каждом из них установлен Lync-сервер FrontEnd, все имеют единую опубликованную топологию (сделано для разгрузки канала, т.е. два филиала ведут видеоконференцию, при этом канал головного офиса не используется), и все находятся в едином домене. 

    Есть учетная запись с максимальными привилегиями  администрирования всех серверов Lync.

    Вопрос: как сделать так, что бы администраторы в филиале имели полные права администрирования (например добавить пользователя, переопределить политики), но только исключительно на своих серверах?

    Ведь насколько я понял, все права выдаются на уровне AD.. и как распределить одни и те же роли между разными серверами работающими в одном домене не могу понять.

    Заранее спасибо!

    17 марта 2015 г. 7:32

Все ответы

  • Добрый день!

    В RBAC есть роль CsUserAdministrator

    https://technet.microsoft.com/en-us/library/gg425917.aspx

    С помощью ее и настройки прав в AD можно разрешить управлять только своими пользователями.

    А вот с политиками сложнее, так как они изначально создаются в рамках организации. Чтобы их добавлять или изменять нужны соответствующие права. Как вариант - попробовать написать кастомные скрипты и создать новые политики RBAC.

    17 марта 2015 г. 7:45
  • Посмотрите статью. В принципе все довольно просто решается на уровне RBAC.

    Do not multiply entities beyond what is necessary

    17 марта 2015 г. 7:46
  • Тоже только что нашел эту статью, но дело в том, что все сервера в одном домене, и вывод команды: Get-CsSite, говорит, что идентификаторы сайта одинаковые:

    Т.е. вывод команды и на сервер Lync и на сервере Lync2 один и тот же.

    Identity        : Site:ISSO

    SiteId          : 1

    Services        : {UserServer:lync.isso.org.com, Registrar:lync.isso.org.com, U                  serDatabase:lync.isso.org.com, FileStore:lync.isso.org.com...}

    Pools           : {lync.isso.org.com, lync2.isso.org.com}

    FederationRoute :

    Description     :

    DisplayName     : ISSO

    SiteType        : CentralSite

    ParentSite      :

    Соответственно, указывая 

    New-CsAdminRole -Identity "Local CSAdministrator" -Template CSAdministrator -ConfigScopes"site:SiteId" -UserScopes"OU:OU=LocalStaff,DC=domain,DC=local"

    -ConfigScopes "site:SiteID" - мы даем права новой группе админов всем серверам Lync.

    17 марта 2015 г. 9:00
  • Вы сами ответили на свой вопрос ;)

    кто мешает в рамках домена разделить структуру AD на сайты (по офису и филиалам) и рулить по фэншую? ;)

    17 марта 2015 г. 9:19
  • Действительно, очень странно, что этого никто не сделал до сих пор.

    К тому же еще указана в командлете область действия:

    -UserScopes"OU:OU=LocalStaff,DC=domain,DC=local"

    У вас пользователи филиалов не разделены по OU?

    17 марта 2015 г. 9:24
  • Все готово. Теперь админы филиалов управляют только своими пользователями.

    Всем спасибо!

    Но - админ одного филиала, может зайти как в свой Lync-сервер, так и в Lync-сервер другого филиала.

    При чем пока игрался с созданием группу (удалял / создавал). Получил, что админ филиала №1, может зайти на Lync-сервер филиал №2, при этом админ филиала №2 заходит только на свой Lync-сервер.

    Unauthorized: Access is denied due to a role-based access control (RBAC) authorization failure.
    You do not have permission to view this application using the credentials that you provided.
    
    Contact your support team to add your account into appropriate 


    Как такое может быть, и как все же сделать - заходит только на свои Lync-сервера, и работать только на них?

    17 марта 2015 г. 12:30
  • А вы попробуйте подождать некоторое время. Или выполнить gpupdate. Возможно не успели реплицироваться изменения в AD. 
    17 марта 2015 г. 12:38
  • подождать полной репликации изменений в AD на все контроллеры, однозначно.

    вот только не gpupdate ))) AD и GPO не одно и то же.

    17 марта 2015 г. 12:55
  • Сейчас перезапустил сервера.

    Результат такой же как и раньше. На один сервер заходят все админы, на второй сервер только админ филиала.

    Контроллер домена один. Оба сервера в одно домене.

    17 марта 2015 г. 13:01
  • как Вы сайты разбили?

    -домен

    -- сайт офиса

    -- сайт филиала 1

    -- сайт филиала 2

    -- сайт филиала N

    так?

    разнесли пользователей по OU ?

    repadmin в помощь ))

    17 марта 2015 г. 13:12
  • Разнес так:

    -домен

    --OU=Lync

    ---Группа GLync1 (входит admin1)

    ---Группа GLync2 (входит admin2)

    ---OU=Lync1

    ----admin1

    ---OU=Lync2

    ----admin2

    Если добавляю права группаv Glync1 и Glync2 с сервера Lync1 - получают доступ все админы на сервер lync1

    Если добавляю права Glync1 c сервера lync1, а права Glync2 c сервера lync2,то на сервер lync1 заходят все админы, а на сервер lync2 только админы Glync2.


    17 марта 2015 г. 14:06
  • если Вы пошли таким путем... я бы группы переместил внутрь соответствующих OU. и перепроверил членство для групп и пользователей на предмет перехлеста.
    17 марта 2015 г. 14:48
  • Переместил группы в соответствующие OU,  проверил на перехлест - отсутствует,перегрузил сервера. 

    Ситуация без изменений.

    17 марта 2015 г. 15:33
  • я правильно понял что на сайты Вы не разбили инфраструктуру?
    17 марта 2015 г. 18:03
  • Разбитие на сайта - скажем так,  не вдаваясь в подробности, в этом нет необходимости.

    Может как-то можно посмотреть эти права и настройки ролевой модели иначе? Уже по моему все перепробовали.

    18 марта 2015 г. 7:44