Как-то писал о назначении административных прав доступа для администраторов региональных офисов. В Lync Server, с одной стороны, эта операция выполняется значительно проще. С другой стороны, места для манёвра при назначении прав доступа сильно меньше.
Чтобы назначить необходимые для администрирования Lync Server права региональным администраторам и ограничить их границами только своей инфраструктуры делается следующее:
- Создаём Security-группу (если в региональном офисе свой домен – то в этом домене)
- Запускаем следующий командлет:
New-CsAdminRole -Identity "Local CSAdministrator" -Template CSAdministrator -ConfigScopes "site:SiteId" -UserScopes "OU:OU=LocalStaff,DC=domain,DC=local"
Здесь “Local CSAdministrator” – группа безопасности, созданная на первом шаге. В неё входят администраторы регионального офиса. CSAdministrator – используем в качестве шаблона группу с полными правами доступа (можно использовать любой из стандартных шаблонов, список которых можно получить через командлет Get-CsAdminRole). В ключе ConfigScope указываем в качестве области действия идентификатор сайта, связанного с региональным офисом (список сайтов, а так же их идентификаторы можно получить через командлет Get-CsSite). В ключе UserScope можно указать организационную единицу, в рамках которой может применять свои права региональный администратор. Последние два ключа необязательны.
Ага, реально рабочая штука, так делал тоже.
Как будто спам-бот написал =))))
При запуске Lync Management Shell из-под этой учетки, получаем ошибку “Cannot open database “xds” requested by the login”