Partager via


Gérer des groupes de rôles liés

S’applique à : Exchange Server 2013

Vous pouvez utiliser un groupe de rôles de gestion liés pour permettre aux membres d'un groupe de sécurité universel (USG) d'une forêt Active Directory étrangère de gérer une organisation Microsoft Exchange Server 2013 au sein d'une forêt Active Directory de ressources. En associant un USG dans une forêt étrangère à un groupe de rôles liés, les membres de cet USG reçoivent les autorisations octroyées par les rôles de gestion attribués au groupe de rôles liés. Pour plus d'informations sur les groupes de rôles liés, voir Présentation des groupes de rôles de gestion.

Pour créer et configurer des groupes de rôles liés, vous devez utiliser les cmdlets New-RoleGroup et Set-RoleGroup. Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques suivantes :

Autres tâches de gestion relatives aux groupes de rôles, voir Autorisations.

Ce qu'il faut savoir avant de commencer

  • Durée d'exécution estimée de chaque procédure : 5 à 10 minutes

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Groupes de rôles » dans la rubrique Autorisations pour la gestion des rôles.

  • Vous ne pouvez pas utiliser le Centre d’administration Exchange (EAC) pour créer ou configurer des groupes de rôles liés. Vous devez utiliser l'environnement de ligne de commande Exchange Management Shell.

  • Au minimum, la configuration d'un groupe de rôles liés requiert l'établissement d'une approbation unidirectionnelle entre la forêt de ressources Active Directory où réside le groupe de rôles liés et la forêt étrangère Active Directory où se trouvent les utilisateurs ou les USG. La forêt de ressources doit faire confiance à la forêt étrangère.

  • Vous devez posséder les informations suivantes sur la forêt étrangère Active Directory :

    • Informations d’identification : vous devez disposer d’un nom d’utilisateur et d’un mot de passe qui peuvent accéder à la forêt Active Directory étrangère. Ces informations sont utilisées avec le paramètre LinkedCredential sur les applets de commande New-RoleGroup et Set-RoleGroup .

    • Contrôleur de domaine : vous devez disposer du nom de domaine complet (FQDN) d’un contrôleur de domaine Active Directory dans la forêt Active Directory étrangère. Ces informations sont utilisées avec le paramètre LinkedDomainController sur les applets de commande New-RoleGroup et Set-RoleGroup .

    • UsG étranger : vous devez avoir le nom complet d’un groupe de sécurité des états-unis dans la forêt Active Directory étrangère qui contient les membres que vous souhaitez associer au groupe de rôles lié. Ces informations sont utilisées avec le paramètre LinkedForeignGroup sur les applets de commande New-RoleGroup et Set-RoleGroup .

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

Conseil

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums de Exchange Server.

Créer un groupe de rôles liés

Utilisation du Shell pour créer un groupe de rôles liés non délimité

Pour créer un groupe de rôles liés et lui attribuer des rôles de gestion, procédez comme suit :

  1. Stockez les informations d'identification de la forêt Active Directory étrangère dans une variable.

    $ForeignCredential = Get-Credential
    
  2. Créez le groupe de rôles liés à l'aide de la syntaxe suivante.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Ajoutez ou supprimez les membres depuis ou vers le groupe de sécurité universelle étranger en utilisant les ordinateurs et les utilisateurs Active Directory sur un ordinateur dans la forêt Active Directory étrangère.

Cet exemple effectue les opérations suivantes :

  • Récupération des informations d'identification pour la forêt Active Directory étrangère users.contoso.com. Ces informations d'identification sont utilisées pour vous connecter au contrôleur de domaine DC01.users.contoso.com dans la forêt étrangère.

  • Crée un groupe de rôles liés nommé Groupe de rôles de conformité dans la forêt de ressources où est installé Exchange 2013.

  • Relie le nouveau groupe de rôles à l'USG Administrateurs de conformité dans la forêt users.contoso.com Active Directory.

  • Attribue les rôles Règles de transport et Gestion de la journalisation au nouveau groupe de rôles liés.

$ForeignCredential = Get-Credential
New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"

Utilisation du Shell pour créer un groupe de rôles liés avec une portée de gestion personnalisée

Vous pouvez créer des groupes de rôles liés avec des portées de gestion de destinataires personnalisées, des portées de gestion de configuration personnalisées ou avec les deux. Pour créer un groupe de rôles liés et lui attribuer des rôles de gestion avec des portées personnalisées, procédez comme suit :

  1. Stockez les informations d'identification de la forêt Active Directory étrangère dans une variable.

    $ForeignCredential = Get-Credential
    
  2. Créez le groupe de rôles liés à l'aide de la syntaxe suivante.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Ajoutez ou supprimez les membres depuis ou vers le groupe de sécurité universelle étranger en utilisant les ordinateurs et les utilisateurs Active Directory sur un ordinateur dans la forêt Active Directory étrangère.

Cet exemple effectue les opérations suivantes :

  • Récupération des informations d'identification pour la forêt Active Directory étrangère users.contoso.com. Ces informations d'identification sont utilisées pour vous connecter au contrôleur de domaine DC01.users.contoso.com dans la forêt étrangère.

  • Crée un groupe de rôles liés nommé Groupe de rôles de conformité Seattle dans la forêt de ressources où est installé Exchange 2013.

  • Relie le nouveau groupe de rôles à l'USG Administrateurs de conformité Seattle dans la forêt users.contoso.com Active Directory.

  • Attribue les rôles Règles de transport et Gestion de journalisation au nouveau groupe de rôles liés avec la portée de destinataires personnalisée Destinataires Seattle.

$ForeignCredential = Get-Credential
New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"

Pour plus d'informations sur les étendues de gestion, voir Présentation des portées du rôle de gestion.

Utilisation du Shell pour créer un groupe de rôles liés avec une portée OU

Vous pouvez créer des groupes de rôles liés qui utilisent une portée de destinataires OU. Pour créer un groupe de rôles liés et lui attribuer des rôles de gestion avec une portée OU, procédez comme suit :

  1. Stockez les informations d'identification de la forêt Active Directory étrangère dans une variable.

    $ForeignCredential = Get-Credential
    
  2. Créez le groupe de rôles liés à l'aide de la syntaxe suivante.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>
    
  3. Ajoutez ou supprimez les membres depuis ou vers le groupe de sécurité universelle étranger en utilisant les ordinateurs et les utilisateurs Active Directory sur un ordinateur dans la forêt Active Directory étrangère.

Cet exemple effectue les opérations suivantes :

  • Récupération des informations d'identification pour la forêt Active Directory étrangère users.contoso.com. Ces informations d'identification sont utilisées pour vous connecter au contrôleur de domaine DC01.users.contoso.com dans la forêt étrangère.

  • Crée un groupe de rôles liés nommé Groupe de rôles de conformité Cadres dans la forêt de ressources où est installé Exchange 2013.

  • Relie le nouveau groupe de rôles à l'USG Administrateurs de conformité Cadres dans la forêt users.contoso.com Active Directory.

  • Attribue les rôles Règles de transport et Gestion de journalisation au nouveau groupe de rôles liés avec la portée de destinataires OU Cadres OU.

$ForeignCredential = Get-Credential
New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"

Pour plus d'informations sur les étendues de gestion, voir Présentation des portées du rôle de gestion.

Changer l'USG étranger sur un groupe de rôles liés

Utiliser l'environnement de ligne de commande Exchange Management Shell pour modifier le groupe de sécurité universel étranger associé à un groupe de rôles lié

Pour modifier le groupe de sécurité universel étranger associé à un groupe de rôles lié, effectuez les opérations suivantes :

  1. Stockez les informations d'identification de la forêt Active Directory étrangère dans une variable.

    $ForeignCredential = Get-Credential
    
  2. Utilisez la syntaxe suivante pour modifier l'USG étranger sur le groupe de rôles liés existant.

    Set-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential
    

Cet exemple effectue les opérations suivantes :

  • Récupération des informations d'identification pour la forêt Active Directory étrangère users.contoso.com. Ces informations d'identification sont utilisées pour vous connecter au contrôleur de domaine DC01.users.contoso.com dans la forêt étrangère.

  • Modification du groupe de sécurité universel étranger associé au groupe de rôles « Compliance Role Group » en « Regulatory Compliance Officers ».

$ForeignCredential = Get-Credential
Set-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Regulatory Compliance Officers" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential