Afficher les autorisations effectives
S’applique à : Exchange Server 2013
Dans Microsoft Exchange Server 2013, les autorisations sont accordées à l'aide de rôles de gestion attribués à des groupes de rôles de gestion, des stratégies d'attribution de rôle de gestion, des groupes de sécurité universels ou directement aux utilisateurs. Les utilisateurs reçoivent les autorisations s'ils sont membres des groupes de rôles ou des groupes de sécurité universels ou si des stratégies d'attribution de rôle leur sont attribuées.
La plupart des autorisations sont accordées en fonction de l'appartenance à un groupe de rôles ou de l'attribution des stratégies d'affectation aux utilisateurs finaux. Bien que l'utilisation de groupes de rôles et de stratégies d'affectation facilite l'octroi des autorisations à un grand nombre d'utilisateurs, vous ne savez pas nécessairement quels utilisateurs sont membres d'un groupe de rôles, ni quels utilisateurs disposent d'une stratégie d'affectation. C’est là que le commutateur GetEffectiveUsers sur l’applet de commande Get-ManagementRoleAssignment est utile. Il indique quels utilisateurs ont reçu les autorisations accordées par un rôle de gestion via les groupes de rôles, les stratégies d'affectation et les groupes de sécurité universels qui leur ont été attribués.
Le commutateur GetEffectiveUsers est utilisé avec l’applet de commande Get-ManagementRoleAssignment lorsque le paramètre Role est utilisé. En indiquant ce commutateur avec un rôle spécifique, la cmdlet Get-ManagementRoleAssignment examine tous les utilisateurs affectés au rôle, comme les groupes de rôles, les stratégies d'affectation et les groupes universels de sécurité, et répertorie les membres de chacun.
Remarque
Le commutateur GetEffectiveUser ne répertorie pas les utilisateurs qui sont membres d’un groupe de rôles étrangers lié. Si un groupe de rôles lié est trouvé, Tous les membres du groupe lié s'affichent à la place de la liste des utilisateurs. Pour plus d'informations sur les autorisations couvrant plusieurs forêts, voir Présentation des autorisations sur plusieurs forêts.
Pour plus d'informations sur les rôles de gestion, les groupes de rôles et stratégies d'affectation, voir Présentation du contrôle d'accès basé sur un rôle. Pour plus d'informations sur les attributions des rôles de gestion, voir Présentation des attributions de rôles de gestion.
Souhaitez-vous rechercher les autres tâches de gestion relatives à la gestion des autorisations ? Consultez la rubrique Autorisations.
Ce qu'il faut savoir avant de commencer
Durée d'exécution estimée de chaque procédure : 5 minutes
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultezEntrée « Groupes de rôles » ou « Stratégie d'attribution de rôle » dans la rubrique Autorisations pour la gestion des rôles.
Les procédures décrites dans cette rubrique ne peuvent être effectuées dans l'environnement de ligne de commande Exchange Management Shell. Vous ne pouvez pas utiliser le Centre d’administration Exchange (EAC) pour afficher les autorisations effectives.
Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.
Conseil
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums de Exchange Server.
Utiliser l'environnement de ligne de commande Exchange Management Shell pour répertorier tous les utilisateurs
Pour dresser la liste de tous les utilisateurs qui bénéficient des autorisations fournies par un rôle de gestion, utilisez la syntaxe suivante.
Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers
Cet exemple répertorie tous les utilisateurs qui bénéficient des autorisations fournies par le rôle Mail Recipients.
Get-ManagementRoleAssignment -Role "Mail Recipients" -GetEffectiveUsers
Pour modifier les propriétés qui sont renvoyées dans la liste ou pour exporter la liste dans un fichier de valeurs séparées par une virgule (.csv), voir Utiliser l'environnement de ligne de commande Exchange Management Shell pour personnaliser la sortie et l'afficher plus loin dans cette rubrique.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment.
Utiliser l'environnement de ligne de commande Exchange Management Shell pour rechercher un utilisateur spécifique sur un rôle
Pour trouver un utilisateur spécifique ayant reçu les autorisations fournies par un rôle de gestion, vous devez utiliser la cmdlet Get-ManagementRoleAssignment pour extraire la liste de tous les utilisateurs effectifs, puis transférer la sortie à la cmdlet Where. La cmdlet Where filtre la sortie et retourne uniquement l'utilisateur spécifié. Utilisez la syntaxe suivante.
Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "<name of user>"}
Cet exemple recherche l'utilisateur David Strome sur le rôle Journaling.
Get-ManagementRoleAssignment -Role Journaling -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"}
Pour modifier les propriétés qui sont renvoyées dans la liste ou exporter cette dernière dans un fichier .csv, voir Utiliser l'environnement de ligne de commande Exchange Management Shell pour personnaliser la sortie et l'afficher ultérieurement dans cette rubrique.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment.
Utiliser l'environnement de ligne de commande Exchange Management Shell pour rechercher un utilisateur spécifique sur tous les rôles
Pour connaître tous les rôles par lesquels un utilisateur reçoit des autorisations, vous devez utiliser la cmdlet Get-ManagementRoleAssignment pour extraire tous les utilisateurs effectifs sur tous les rôles de gestion, puis transférer la sortie à la cmdlet Where. La cmdlet Where filtre la sortie et retourne uniquement les attributions de rôle qui accordent les autorisations aux utilisateurs.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "<name of user>"}
Cet exemple recherche toutes les attributions de rôle qui accordent des autorisations à l'utilisateur Kim Akers.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "Kim Akers"}
Si vous souhaitez modifier les propriétés qui sont renvoyées dans la liste ou l'exporter dans un fichier CSV, voir Utiliser l'environnement de ligne de commande Exchange Management Shell pour personnaliser la sortie et l'afficher ultérieurement dans cette rubrique.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment.
Utiliser l'environnement de ligne de commande Exchange Management Shell pour personnaliser la sortie et l'afficher
Il se peut que la sortie par défaut de la cmdlet Get-ManagementRoleAssignment ne contiennent pas les informations qui vous intéressent. La sortie de la cmdlet contient beaucoup plus de propriétés auxquelles vous pouvez accéder. Voici quelques-unes des propriétés qui pourraient être utiles :
EffectiveUserName : nom de l’utilisateur.
Rôle : rôle qui accorde les autorisations.
RoleAssigneeName : groupe de rôles, stratégie d’attribution ou USG affecté au rôle et contenant l’utilisateur dans la
EffectiveUserName
propriété .RoleAssigneeType : indique si l’attribution de rôle est à un groupe de rôles, à une stratégie d’attribution, à un usG ou à un utilisateur.
AssignmentMethod : indique si l’attribution entre le rôle et le bénéficiaire du rôle est directe ou indirecte.
CustomRecipientWriteScope : indique l’étendue d’écriture personnalisée du destinataire, le cas échéant, qui a été appliquée à l’attribution de rôle lors de sa création. L’étendue spécifiée dans cette propriété remplace l’étendue d’écriture implicite du destinataire spécifiée dans la
RecipientWriteScope
propriété .CustomConfigWriteScope : indique l’étendue d’écriture de configuration personnalisée, le cas échéant, qui a été appliquée à l’attribution de rôle lors de sa création. L’étendue spécifiée dans cette propriété remplace l’étendue d’écriture de configuration implicite spécifiée dans la
ConfigWriteScope
propriété .RecipientReadScope : indique l’étendue de lecture implicite du destinataire appliquée au rôle.
RecipientWriteScope : indique l’étendue d’écriture implicite du destinataire appliquée au rôle.
ConfigReadScope : indique l’étendue de lecture implicite de la configuration qui est appliquée au rôle.
ConfigWriteScope : indique l’étendue d’écriture de configuration implicite appliquée au rôle.
Pour sélectionner les propriétés que vous voulez afficher dans votre liste, vous utilisez des commandes similaires à celles utilisées dans les sections Utiliser l'environnement de ligne de commande Exchange Management Shell pour répertorier tous les utilisateurs, Utiliser l'environnement de ligne de commande Exchange Management Shell pour rechercher un utilisateur spécifique sur un rôle et Utiliser l'environnement de ligne de commande Exchange Management Shell pour rechercher un utilisateur spécifique sur tous les rôles. La différence réside dans le fait que vous transmettez les résultats de ces commandes aux cmdlets Format-Table ou Select-Object. La cmdlet Format-Table est utile pour afficher la liste des résultats à l'écran. La cmdlet Select-Object permet d'afficher la liste des résultats dans un fichier .csv.
Ces deux cmdlets vous permettent de spécifier les propriétés qui vous intéressent ainsi que leur ordre d'affichage. La cmdlet Format-Table offre davantage d'options lorsque vous affichez les résultats à l'écran, alors que la cmdlet Select-Object ne modifie la sortie en aucun cas, ce qui est utile lorsque vous exportez la liste dans un fichier .csv.
Pour plus d'informations sur les cmdlets Format-Table et Select-Object, voir Utilisation de la sortie de la commande.
Afficher une liste personnalisée à l'écran
Sélectionnez les informations que vous souhaitez voir et recherchez la commande associée à partir de l’une des procédures suivantes :
Use the Shell to list all effective users
Use the Shell to find a specific user a role
Use the Shell to find a specific user on all roles
Sélectionnez les propriétés que vous souhaitez voir dans votre liste.
Utilisez la syntaxe suivante pour afficher la liste.
<command to retrieve list > | Format-Table <property 1>, <property 2>, <property ...>
Cet exemple recherche l’utilisateur David Strome sur tous les rôles et affiche les EffectiveUserName
propriétés , Role
, CustomRecipientWriteScope
et CustomConfigWriteScope
.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"} | Format-Table EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment.
Afficher une liste personnalisée dans un fichier .csv
Pour exporter la liste au format .csv, vous devez transmettre les résultats de la commande Get-ManagementRoleAssignment issus de la procédure appropriée décrite précédemment à la cmdlet Select-Object. La sortie de la cmdlet Select-Object est ensuite transmise à la cmdlet Export-CSV qui enregistre le fichier .csv résultant sous le nom de fichier que vous indiquez.
Sélectionnez les informations que vous souhaitez voir et recherchez la commande associée à partir de l'une des procédures suivantes :
Use the Shell to list all effective users
Use the Shell to find a specific user a role
- Use the Shell to find a specific user on all roles
Sélectionnez les propriétés que vous souhaitez voir dans votre liste.
Utilisez la syntaxe suivante pour exporter la liste dans un fichier .csv.
<command to retrieve list > | Select-Object <property 1>, <property 2>, <property ...> | Export-CSV <filename>
Cet exemple recherche l’utilisateur David Strome sur tous les rôles et affiche les EffectiveUserName
propriétés , Role
, CustomRecipientWriteScope
et CustomConfigWriteScope
.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"} | Select-Object EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope | Export-CSV c:\output.csv
Vous pouvez maintenant visualiser le fichier .csv dans la visionneuse de votre choix.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment.