19、基于角色的访问控制（RBAC）在Lync中的应用与管理

基于角色的访问控制（RBAC）在Lync中的应用与管理

1. 角色概述

在Lync系统中，存在多种不同的角色，每个角色都有其特定的权限和职责。例如，CsVoiceAdministrator角色允许管理员更改队列并在必要时实现工作时间自动化，且在Exchange中没有与之等效的角色。CsLocationAdministrator角色则类似存档角色，是一个有限制的角色，持有者可以管理位置信息，适合设施或网络管理员使用，他们负责管理和维护位置到子网、交换机和建筑物的映射，同样在Exchange中也没有等效角色。

与Exchange 2010的RBAC相比，Lync 2010的RBAC在某些方面有所不同。在Lync中，角色仅分配给管理员；而在Exchange 2010中，不仅可以为管理员授予角色，还能为用户授予角色，允许用户执行一些基本的管理任务，如更新联系人信息和进行消息跟踪。此外，Exchange 2010在创建自定义角色时具有更高的粒度，可以创建仅运行特定定义命令的自定义角色，而Lync的自定义角色只能是现有角色的副本，并带有特定的作用域。

2. 创建新角色的规划

在使用Lync的RBAC时，仔细规划至关重要。如果随意分配权限，可能会导致管理员拥有过多权限，从而引发安全问题。标准角色具有一定的灵活性，但许多组织的管理团队结构可能与标准角色的布局不完全匹配。因此，可以将标准角色作为模板来创建自定义角色，以提供更多的灵活性。

例如，若帮助台的一组管理员只需管理一个组织单位（OU）中的用户，可以使用CsUserAdministrator角色作为模板，配置一个针对该特定OU的用户作用域的新自定义角色。

在某些组织中，由于监管原