Présentation des portées du rôle de gestion
S’applique à : Exchange Server 2013
Les étendues des rôles de gestion permettent de définir l’étendue spécifique de l’impact ou de l’influence d’un rôle de gestion lorsqu’une attribution de rôle de gestion est créée. Lorsque vous appliquez une étendue, la personne attribuée au rôle ne peut que modifier les objets contenus dans cette étendue. Une personne attribuée au rôle peut être un groupe de rôles de gestion, un rôle de gestion, une stratégie d'attribution de rôle de gestion, un utilisateur ou un groupe de sécurité universel. Pour plus d'informations sur les rôles de gestion, voir Présentation du contrôle d'accès basé sur un rôle.
Remarque
Cette rubrique traite de la fonctionnalité RBAC avancée. Si vous souhaitez gérer des autorisations Exchange 2013 de base, comme l'utilisation du centre d'administration Exchange pour ajouter et supprimer des membres dans les groupes de rôles, créer et modifier des groupes de rôles ou créer et modifier des stratégies d'attribution de rôles, consultez la rubrique Autorisations.
Chaque rôle de gestion, qu'il soit intégré ou personnalisé, a des étendues de gestion. Une étendue de gestion peut être :
Normal : une étendue régulière n’est pas exclusive. Il détermine où, dans Active Directory, les objets peuvent être consultés ou modifiés par les utilisateurs auxquels le rôle de gestion est attribué. En général, un rôle de gestion indique ce qui peut être créé ou modifié et une étendue de rôle de gestion indique où la création ou la modification sont effectuées. Les étendues régulières peuvent être implicites ou explicites, les deux étant abordées plus loin dans cette rubrique.
Exclusif : une étendue exclusive se comporte presque comme une étendue normale. La principale différence réside dans le fait qu'elle permet de refuser l'accès aux objets contenus dans l'étendue exclusive si les utilisateurs ne se voient pas attribuer un rôle associé à l'étendue exclusive. Toutes les étendues exclusives sont explicites, comme cela est décrit plus loin dans cette rubrique.
Pour plus d'informations sur les étendues exclusives, voir Présentation des étendues exclusives.
Les étendues peuvent être héritées du rôle de gestion, définies comme une étendue relative prédéfinie sur une attribution de rôle de gestion ou créées à l'aide de filtres personnalisés et ajoutées à une attribution de rôle de gestion. Les étendues héritées des rôles de gestion s’appellent étendues implicites et les étendues prédéfinies et personnalisées s’appellent étendues explicites. Les sections suivantes décrivent chaque type d’étendue :
- Implicit Scopes
- Explicit Scopes
- Predefined Relative Scopes
- Custom Scopes
- Recipient Filter Scopes
- Configuration Scopes
Chaque rôle peut posséder les types d’étendue suivants :
- Étendue de lecture du destinataire : l’étendue de lecture implicite du destinataire détermine les objets destinataires que l’utilisateur a attribué au rôle de gestion est autorisé à lire à partir d’Active Directory.
- Étendue d’écriture du destinataire : l’étendue d’écriture implicite du destinataire détermine les objets destinataires que l’utilisateur a attribué au rôle de gestion est autorisé à modifier dans Active Directory.
- Étendue de lecture de la configuration : l’étendue de lecture de la configuration implicite détermine les objets de configuration que l’utilisateur a attribué au rôle de gestion est autorisé à lire à partir d’Active Directory.
- Étendue d’écriture de configuration : l’étendue d’écriture de configuration implicite détermine les objets d’organisation, de base de données et de serveur que l’utilisateur a le rôle de gestion autorisé à modifier dans Active Directory.
Les objets destinataire incluent des boîtes aux lettres, des groupes de distribution, des utilisateurs à extension messagerie et d'autres objets. Les objets de configuration incluent les serveurs exécutant Microsoft Exchange Server 2013 ainsi que les bases de données sur les serveurs exécutant Exchange. Chaque type d'étendue peut être implicite ou explicite.
Étendues implicites
Les étendues implicites sont des étendues par défaut qui s’appliquent à un type de rôle de gestion. Étant donné que les étendues implicites sont associées à un type de rôle de gestion, tous les rôles de gestion parent et enfant de même type ont également les mêmes étendues implicites. Les étendues implicites s'appliquent aux deux rôles de gestion intégrés et également à ceux personnalisés. Pour plus d'informations sur les rôles de gestion et leurs types, voir Présentation des rôles de gestion.
Les tableaux suivants répertorient toutes les étendues implicites qui peuvent être définies sur les rôles de gestion.
Étendues implicites définies sur les rôles de gestion
Étendues implicites | Description |
---|---|
Organization |
Si Organization est présent dans l’étendue d’écriture du destinataire du rôle, le rôle peut créer ou modifier des objets destinataires dans l’organisation Exchange. Si Organization est présent dans l’étendue de lecture du destinataire du rôle, les rôles peuvent afficher n’importe quel objet destinataire dans l’organisation Exchange. Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire. |
MyGAL |
Si MyGAL est présent dans l’étendue d’écriture du destinataire du rôle, le rôle peut afficher les propriétés de n’importe quel destinataire dans la liste d’adresses globale (GAL) de l’utilisateur actuel. Si MyGAL est présent dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher les propriétés de n’importe quel destinataire dans la liste d’adresses globale actuelle. Cette étendue est utilisée uniquement avec les étendues de lecture du destinataire. |
Self |
Si Self est présent dans l’étendue d’écriture du destinataire du rôle, le rôle peut modifier uniquement les propriétés de la boîte aux lettres de l’utilisateur actuel. Si Self est présent dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher uniquement les propriétés de la boîte aux lettres de l’utilisateur actuel. Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire. |
MyDistributionGroups |
Si MyDistributionGroups est présent dans l’étendue d’écriture du destinataire du rôle, le rôle peut créer ou modifier des objets de liste de distribution appartenant à l’utilisateur actuel. Si MyDistributionGroups est présent dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher les objets de liste de distribution appartenant à l’utilisateur actuel. Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire. |
OrganizationConfig |
Si OrganizationConfig est présent dans l’étendue d’écriture de configuration du rôle, le rôle peut créer ou modifier n’importe quel objet de configuration de serveur ou de base de données au sein de l’organisation Exchange. Si OrganizationConfig est présent dans l’étendue de lecture de la configuration du rôle, le rôle peut afficher n’importe quel objet de configuration de serveur ou de base de données au sein de l’organisation Exchange. Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture de configuration. |
None |
Si None est dans une étendue, cette étendue n’est pas disponible pour le rôle. Par exemple, un rôle qui a None dans l’étendue d’écriture du destinataire ne peut pas modifier les objets destinataires dans l’organisation Exchange. |
Si un rôle est attribué à une personne et qu'aucune étendue prédéfinie ou personnalisée n'est spécifiée, les étendues implicites définies sur le rôle sont utilisées pour contrôler les objets destinataire ou organisation que l'utilisateur peut afficher ou modifier.
L'étendue d'écriture implicite d'un rôle est toujours égale à ou inférieure à l'étendue de lecture implicite. Cela signifie qu'un rôle ne peut jamais modifier des objets invisibles par l'étendue.
Vous ne pouvez pas modifier les étendues implicites définies sur les rôles de gestion. Vous pouvez, toutefois, remplacer l'étendue d'écriture implicite et l'étendue de configuration sur un rôle de gestion. Lorsqu'une étendue relative prédéfinie ou une étendue personnalisée est utilisée sur une attribution de rôle, l'étendue d'écriture implicite est remplacée et la nouvelle étendue devient prioritaire. L'étendue de lecture implicite d'un rôle ne peut pas être remplacée et s'applique toujours. Pour plus d’informations, consultez Étendues relatives prédéfinies et Étendues personnalisées.
Le tableau suivant répertorie tous les rôles de gestion intégrés et leurs étendues implicites. Pour plus d'informations sur les groupes de rôles intégrés, consultez la rubrique Rôles de gestion intégrés.
Étendues implicites des rôles de gestion intégrés
Rôle de gestion | Étendue de lecture du destinataire | Étendue d’écriture du destinataire | Configuration de l’étendue de lecture | Configuration de l’étendue d’écriture |
---|---|---|---|---|
Active Directory Permissions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Address Lists |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
ApplicationImpersonation |
Organization |
Organization |
None |
None |
ArchiveApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Audit Logs |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Cmdlet Extension Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Data Loss Prevention |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Availability Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Copies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Databases |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Disaster Recovery |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Distribution Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Edge Subscriptions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
E-Mail Address Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Server Certificates |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Servers |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Virtual Directories |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Federated Sharing |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Information Rights Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Journaling |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Legal Hold |
Organization |
Organization |
OrganizationConfig |
None |
LegalHoldApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Enabled Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipient Creation |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipients |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Tips |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Import Export |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Search |
Organization |
Organization |
None |
None |
MailboxSearchApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Message Tracking |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Migration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Monitoring |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Move Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
OfficeExtensionApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Custom Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Marketplace Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyAddressInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyBaseOptions |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyContactInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDiagnostics |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDisplayName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDistributionGroupMembership |
MyGAL |
MyGAL |
None |
None |
MyDistributionGroups |
MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
MyMobileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyPersonalInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyProfileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyRetentionPolicies |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyTeamMailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
MyTextMessaging |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyVoiceMail |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Organization Client Access |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Configuration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Transport Settings |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
POP3 And IMAP4 Protocols |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Receive Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Recipient Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Remote and Accepted Domains |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Reset Password |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Retention Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Security Group Creation and Membership |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Send Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Support Diagnostics |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
TeamMailboxLifecycleApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Transport Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Hygiene |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Queues |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Rules |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Prompts |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Unified Messaging |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UnScoped Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UserApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
User Options |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
View-Only Audit Logs |
Organization |
None |
OrganizationConfig |
None |
View-Only Configuration |
Organization |
None |
OrganizationConfig |
None |
View-Only Recipients |
Organization |
None |
OrganizationConfig |
None |
WorkloadManagement |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Étendues explicites
Les étendues explicites sont des étendues que vous définissez vous-même pour contrôler les objets qu’un rôle de gestion peut modifier. Alors que les étendues implicites sont définies sur un rôle de gestion, les étendues explicites le sont sur une attribution de rôle de gestion. Ainsi, les étendues implicites sont appliquées systématiquement à tous les rôles de gestion à moins que vous choisissiez d'utiliser une étendue explicite de remplacement. Pour plus d'informations sur les attributions de rôle de gestion, voir Présentation des attributions de rôles de gestion.
Les étendues explicites remplacent les étendues de configuration et d'écriture implicites d'un rôle de gestion. Elles ne remplacent pas l'étendue de lecture implicite d'un rôle de gestion. L'étendue de lecture implicite continue à définir les objets lisibles par le rôle de gestion.
Les étendues explicites sont utiles lorsque l'étendue d'écriture implicite d'un rôle de gestion ne répond pas à vos besoins. Vous pouvez ajouter une étendue explicite pour inclure à peu près tout ce que vous voulez tant que la nouvelle étendue ne dépasse pas les limites de l'étendue de lecture implicite. Les cmdlets faisant partie d'un rôle de gestion doivent pouvoir lire les informations sur les objets ou les conteneurs d'objets pour pouvoir créer ou modifier les objets. Par exemple, si l’étendue de lecture implicite sur un rôle de gestion est définie sur Self
, vous ne pouvez pas ajouter une étendue d’écriture explicite de Organization
, car l’étendue d’écriture explicite dépasse les limites de l’étendue de lecture implicite.
Pour plus d’informations, voir les ressources suivantes :
Predefined Relative Scopes
Custom Scopes
Étendues relatives prédéfinies
Exchange 2013 propose plusieurs étendues d'écriture relatives prédéfinies que vous pouvez utiliser pour modifier l'étendue d'un rôle de gestion. Les étendues relatives prédéfinies répondent plus précisément à vos besoins sans avoir à créer manuellement des étendues personnalisées. Elles s'appellent étendues relatives, car elles sont relatives à la personne à laquelle l'attribution de rôle associée est affectée. Par exemple, l’étendue Self
relative prédéfinie limite cette étendue d’écriture à l’utilisateur actuel uniquement. L’étendue MyDistributionGroups
relative prédéfinie limite l’étendue d’écriture au groupe de distribution que l’utilisateur actuel possède uniquement. Les étendues relatives prédéfinies sont uniquement utilisables pour délimiter les objets destinataire. Les étendues relatives prédéfinies ne peuvent pas être utilisées pour délimiter les objets configuration. Le tableau suivant répertorie les étendues relatives prédéfinies que vous pouvez utiliser.
Étendues relatives prédéfinies
Étendues implicites | Description |
---|---|
Organization |
Si Organization est présent dans l’étendue d’écriture du destinataire du rôle, le rôle peut créer ou modifier des objets destinataires dans l’organisation Exchange. Si Organization est présent dans l’étendue de lecture du destinataire du rôle, les rôles peuvent afficher n’importe quel objet destinataire dans l’organisation Exchange. Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire. |
Self |
Si Self est présent dans l’étendue d’écriture du destinataire du rôle, le rôle peut modifier uniquement les propriétés de la boîte aux lettres de l’utilisateur actuel. Si Self est présent dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher uniquement les propriétés de la boîte aux lettres de l’utilisateur actuel. Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire. |
MyDistributionGroups |
Si MyDistributionGroups est présent dans l’étendue d’écriture du destinataire du rôle, le rôle peut créer ou modifier des objets de liste de distribution appartenant à l’utilisateur actuel. Si MyDistributionGroups est présent dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher les objets de liste de distribution appartenant à l’utilisateur actuel. Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire. |
Les étendues relatives prédéfinies sont appliquées lorsque vous créez une nouvelle attribution de rôle de gestion. Lors de la création de l’attribution de rôle, à l’aide de l’applet de commande New-ManagementRoleAssignment , vous pouvez spécifier une étendue relative prédéfinie à l’aide du paramètre RecipientRelativeWriteScope . Lorsque la nouvelle attribution de rôle est créée, le nouveau rôle prédéfini remplace l'étendue d'écriture implicite du rôle de gestion. Vous ne pouvez pas spécifier une étendue de destinataire personnalisée lorsque vous créez une attribution de rôle avec une étendue relative prédéfinie. En revanche, vous pouvez spécifier une étendue de configuration personnalisée, si nécessaire.
Pour plus d'informations sur l'ajout d'une attribution de rôle de gestion à une étendue relative prédéfinie, voir Ajouter un rôle à un utilisateur ou un groupe de sécurité universel.
Étendues personnalisées
Les étendues personnalisées sont nécessaires lorsque ni l’étendue d’écriture implicite ni l’étendue relative prédéfinie ne répondent pas à vos besoins. Les étendues personnalisées permettent de définir plus précisément l'étendue à laquelle le rôle de gestion sera appliqué. Par exemple, vous voudrez peut-être cibler une unité d'organisation spécifique, un type de destinataire particulier ou les deux. Ou vous pourriez vouloir seulement permettre à un groupe d'administrateurs de gérer un ensemble spécifique de bases de données de boîtes aux lettres.
Comme pour les étendues relatives prédéfinies, les étendues personnalisées remplacent les étendues de configuration d'organisation et d'écriture implicite définies sur les rôles de gestion. L'étendue de lecture implicite sur les rôles de gestion continue à s'appliquer et l'étendue personnalisée obtenue ne doit pas dépasser les limites de l'étendue de lecture implicite. Vous pouvez créer les trois types d'étendue personnalisée suivants :
Étendue de l’unité d’organisation : une étendue d’unité d’organisation, qui est l’étendue personnalisée la plus simple, est créée à l’aide du paramètre RecipientOrganizationalUnitScope sur l’applet de commande New-ManagementRoleAssignment . En spécifiant une étendue d'unité d'organisation lorsqu'un rôle est attribué, l'utilisateur auquel le rôle est attribué peut modifier uniquement les objets destinataire contenus dans cette unité d'organisation. Pour plus d'informations sur l'ajout d'une attribution de rôle de gestion à une étendue d'unité d'organisation, voir Ajouter un rôle à un utilisateur ou un groupe de sécurité universel.
Étendue du filtre de destinataires : les étendues de filtre de destinataires utilisent des filtres pour cibler des destinataires spécifiques en fonction du type de destinataire ou d’autres propriétés de destinataire telles que le service, le responsable, l’emplacement, etc. Pour plus d’informations, consultez la section Étendues du filtre de destinataire.
Étendue de configuration : les étendues de configuration utilisent des filtres ou des listes pour cibler des serveurs spécifiques en fonction de listes de serveurs ou de propriétés filtrables qui peuvent être définies sur des serveurs, comme un site Active Directory ou un rôle serveur. Les étendues de configuration peuvent également utiliser les étendues de base de données pour cibler des bases de données spécifiques en fonction de listes de bases de données ou de propriétés filtrables. Pour plus d’informations, consultez la section Étendues de configuration.
Des étendues personnalisées de destinataire et de configuration, soit simples et vastes, soit complexes et précises, peuvent être créées à l'aide de la cmdlet New-ManagementScope. Lorsque vous créez une étendue de destinataire ou de configuration, seuls les objets destinataire, serveur ou base de données répondant à leurs étendues respectives sont renvoyés. Lorsque ces étendues sont appliquées à une attribution de rôle à l'aide de la cmdlet New-ManagementRoleAssignment ou Set-ManagementRoleAssignment, seuls les objets répondant aux étendues peuvent être modifiés par les personnes auxquelles est attribué le rôle. Une fois l'étendue personnalisée créée, vous ne pouvez pas changer le type d'étendue. Une étendue de destinataire est toujours une étendue de destinataire et une étendue de configuration est toujours une étendue de configuration.
Par défaut, une étendue personnalisée permet à une personne attribuée au rôle d'accéder à un ensemble d'objets qui répondent aux étendues définies. Toutefois, l'accès aux autres personnes attribuées au rôle auxquelles n'est pas attribuée également l'étendue identique ou équivalente n'est pas activement exclu. Toute étendue personnalisée peut accéder aux mêmes objets si les listes ou filtres de ces étendues correspondent aux mêmes objets. Pour certains objets, ce comportement n'est pas souhaité, par exemple, pour le personnel d'encadrement. Pour ces objets, vous pouvez définir des étendues exclusives. Les étendues exclusives utilisent les filtres ou listes de la même façon que les étendues normales, sauf qu'elles refusent l'accès aux objets inclus dans l'étendue à quiconque ne fait pas partie de l'étendue exclusive identique ou équivalente. Pour plus d'informations sur les étendues exclusives, voir Présentation des étendues exclusives.
Étendues filtrées de destinataire
Les étendues filtrées de destinataire vous permettent de contrôler quels objets destinataire peuvent être gérés par les personnes auquel le rôle est attribué en évaluant une ou plusieurs propriétés d’un objet destinataire par rapport à une valeur que vous définissez dans une instruction de filtrage. Les destinataires inclus dans des étendues de destinataire sont des boîtes aux lettres, des utilisateurs à extension messagerie, des groupes de distribution et des contacts de messagerie. Seuls les destinataires correspondant au filtre spécifié peuvent être gérés par les personnes auxquelles est attribué ce rôle. Un exemple d’instruction de filtre est { Name -Eq "David" }
où Name est la propriété sur l’objet destinataire en cours d’évaluation et David est la valeur que vous souhaitez évaluer par rapport à la propriété. L'opérateur de comparaison -Eq indique que la valeur enregistrée dans la propriété doit être égale à la valeur spécifiée pour le filtre comme étant de type true. Si le filtre a la valeur true, le destinataire est inclus dans l'étendue.
Les étendues de filtre de destinataires sont créées en spécifiant le filtre de destinataires à utiliser avec le paramètre RecipientRestrictionFilter sur l’applet de commande New-ManagementScope . Par défaut, la cmdlet New-ManagementScope crée des étendues normales. Si vous souhaitez créer une étendue exclusive, incluez le commutateur Exclusif avec le paramètre RecipientRestrictionFilter .
Lorsque vous créez un filtre de restriction destinataire, Exchange évalue le filtre fourni par rapport à chaque objet destinataire.de l'organisation par défaut. Si vous souhaitez limiter les destinataires évalués par l’étendue, vous pouvez utiliser le paramètre RecipientRoot avec le paramètre RecipientRestrictionFilter . Le paramètre RecipientRoot accepte une unité d’organisation. Lorsque vous utilisez le paramètre RecipientRoot , Exchange évalue uniquement les destinataires inclus dans l’unité d’organisation spécifiée par rapport au filtre que vous avez fourni.
Lorsque vous ajoutez une étendue de filtre de destinataire à une attribution de rôle, spécifiez le nom de l’étendue du destinataire dans le paramètre CustomRecipientWriteScope sur New-ManagementRoleAssignment si vous créez une attribution de rôle, ou l’applet de commande Set-ManagementRoleAssignment si vous mettez à jour une attribution de rôle existante. Chaque attribution de rôle peut avoir une étendue de destinataire, y compris les étendues relatives prédéfinies. Vous pouvez ajouter une étendue de configuration à la même attribution de rôle à laquelle vous avez ajouté une étendue de destinataire.
Pour plus d'informations sur la syntaxe du filtre et pour obtenir la liste complète des propriétés filtrables des destinataires, voir Présentation des filtres d'attribution du rôle de gestion.
Étendues de configuration
Les éléments suivants sont les deux types d'étendues de configuration proposées dans Exchange 2013 :
Étendues de serveur : il existe deux types d’étendues de serveur : les étendues de filtre de serveur et les étendues de liste de serveurs. Si un objet serveur est inclus dans une étendue de serveur, il est possible de gérer la configuration d'un serveur comprenant des connecteurs de réception, des files d'attente de transport, des certificats de serveur, des répertoires virtuels, etc.
Étendues de filtre de serveur : les étendues de filtre de serveur vous permettent de contrôler les attributions de rôle d’objets serveur qui peuvent gérer en évaluant une ou plusieurs propriétés sur un objet serveur par rapport à une valeur que vous spécifiez dans une instruction de filtre. Pour créer une étendue de filtre de serveur, utilisez le paramètre ServerRestrictionFilter sur l’applet de commande New-ManagementScope .
Étendues de liste de serveurs : les étendues de liste de serveurs vous permettent de contrôler les attributions de rôle d’objets serveur qui peuvent gérer en définissant une liste de serveurs auxquels un cessionnaire de rôle peut accéder. Pour créer une étendue de liste de serveurs, utilisez le paramètre ServerList sur l’applet de commande New-ManagementScope .
Étendues de base de données : il existe deux types d’étendues de base de données : les étendues de filtre de base de données et les étendues de liste de bases de données. Il est possible de gérer configuration de base de données si un objet base de données est inclus dans une étendue de base de données comprenant des limites de quota de base de données, la maintenance de la base de données, la réplication des dossiers publics, le montage ou non d'une base de données, etc. Outre la configuration de bases de données, les étendues de base de données peuvent aussi servir à contrôler les bases de données dans lesquelles des destinataires peuvent être créés. Si vous avez des serveurs antérieurs à Exchange 2010 SP1 dans votre organisation, consultez la section Les étendues de base de données et les versions antérieures d'Exchange plus loin dans cette rubrique.
Étendues de filtre de base de données : les étendues de filtre de base de données vous permettent de contrôler les attributions de rôle d’objets de base de données qui peuvent gérer en évaluant une ou plusieurs propriétés d’un objet de base de données par rapport à une valeur que vous spécifiez dans une instruction de filtre. Pour créer une étendue de filtre de base de données, utilisez le paramètre DatabaseRestrictionFilter sur l’applet de commande New-ManagementScope .
Étendues de liste de bases de données : les étendues de liste de bases de données vous permettent de contrôler les attributions de rôle d’objets de base de données qui peuvent être gérés en définissant une liste de bases de données auxquelles un cessionnaire de rôle peut accéder. Pour créer une étendue de liste de bases de données, utilisez le paramètre DatabaseList sur l’applet de commande New-ManagementScope .
Pour plus d'informations sur la syntaxe du filtre et pour obtenir la liste complète des propriétés filtrables des serveurs et des bases de données, voir Présentation des filtres d'attribution du rôle de gestion.
Les listes de serveurs et de bases de données peuvent être définies en spécifiant chaque serveur et base de données que vous voulez inclure dans leurs étendues respectives. Plusieurs serveurs ou bases de données peuvent être spécifiés dans leurs étendues respectives en séparant les noms de serveur et de base de données par des virgules.
Lorsque vous ajoutez une étendue de configuration de serveur ou de base de données à une attribution de rôle, spécifiez le nom de l’étendue de configuration du serveur ou de la base de données dans le paramètre CustomConfigWriteScope de l’applet de commande New-ManagementRoleAssignment si vous créez une attribution de rôle, ou l’applet de commande Set-ManagementRoleAssignment si vous mettez à jour une attribution de rôle existante. Chaque attribution de rôle ne peut avoir qu'une seule étendue de configuration.
Outre le fait de contrôler quelles bases de données peuvent être gérées par les personnes auxquelles le rôle est attribué, les étendues de base de données vous permettent également de contrôler dans quelles bases de données les personnes auxquelles est attribué le rôle peuvent créer des boîtes aux lettres. C'est une fonctionnalité distincte de celle de contrôler quels destinataires peuvent être gérés par une personne à laquelle le rôle a été attribué. Si la personne à laquelle le rôle a été attribué dispose des autorisations de création d'une nouvelle boîte aux lettres, d'étendre la messagerie à un utilisateur existant ou de déplacer des boîtes aux lettres, vous pouvez alors affiner encore ces autorisations à l'aide des étendues de base de données pour contrôler la base de données dans laquelle la boîte aux lettres est créée ou dans quelle base de données une boîte aux lettres est déplacée. Le contrôle des destinataires qu’un titulaire de rôle peut gérer s’effectue à l’aide d’une étendue de destinataire spécifiée dans le paramètre CustomRecipientWriteScope sur l’applet de commande New-ManagementRoleAssignment ou Set-ManagementRoleAssignment . Le contrôle des bases de données sur lesquelles une boîte aux lettres peut être créée ou déplacée est contrôlé à l’aide d’une étendue de base de données spécifiée dans le paramètre CustomConfigurationWriteScope sur les mêmes applets de commande.
Remarque
La distribution automatique des boîtes aux lettres peut être contrôlée à l'aide des étendues de base de données.
La gestion des fonctionnalités d'Exchange peut exiger des étendues de serveur ou de base de données, ou les deux types d'étendue. Si la gestion d'une fonctionnalité requiert à la fois des étendues de serveur et de base de données, deux attributions de rôle doivent être créées et dévolues à la personne à laquelle le rôle est attribué et possédant l'accès à la gestion de la fonctionnalité. Une attribution de rôle doit être associée à l'étendue de serveur et l'autre attribution de rôle à l'étendue de base de données.
Certaines cmdlets peuvent utiliser les étendues de configuration qui ne sont pas immédiatement évidentes. Le tableau suivant inclut une liste de cmdlets et d'étendues de configuration que vous pouvez utiliser pour contrôler leur utilisation. Pour les cmdlets incluses dans les fonctionnalités spécifiques, les étendues de configuration vous permettent de contrôler dans quelles bases de données les destinataires peuvent être créés. Elles ne contrôlent pas quels destinataires peuvent être gérés. La colonne Étendues requises peut contenir les éléments suivants :
Base de données : pour exécuter l’applet de commande, le bénéficiaire du rôle doit se voir attribuer une attribution de rôle avec une étendue de base de données qui inclut la base de données à gérer, ou l’étendue d’écriture de configuration implicite du rôle doit inclure la base de données à gérer.
Serveur : pour exécuter l’applet de commande, une attribution de rôle doit être attribuée au destinataire avec une étendue de serveur qui inclut le serveur à gérer, ou l’étendue d’écriture de configuration implicite du rôle doit inclure le serveur à gérer.
Serveur ou base de données : pour exécuter l’applet de commande, le bénéficiaire du rôle doit se voir attribuer une attribution de rôle où une étendue de base de données inclut la base de données en cours de gestion, ou où une étendue de serveur inclut le serveur où se trouve la base de données. Sinon, l'étendue implicite de configuration de rôle doit contenir la base à gérer ou contenir le serveur dans lequel se trouve la base de données et l'attribution de rôle ne peut pas avoir d'étendue d'écriture personnalisée.
Serveur et base de données : pour exécuter cette applet de commande, deux attributions de rôle doivent être attribuées au destinataire du rôle. La première attribution de rôle doit inclure une étendue de base de données qui inclut la base à gérer. La deuxième attribution de rôle doit inclure une étendue de serveur qui inclut le serveur dans lequel se trouve la base de données. Des étendues de configuration personnalisées peuvent avoir été définies pour les attributions de rôle ou ces dernières peuvent hériter d'une étendue implicite d'écriture de configuration par l'intermédiaire du rôle. Pour hériter de l’étendue implicite d’écriture du rôle, l’attribution de rôle ne doit pas avoir d’étendue d’écriture personnalisée.
Fonctionnalités et étendues de base de données et serveur applicables
Fonctionnalités | Cmdlet | Étendues requises |
---|---|---|
Bases de données | Dismount-Database | Base de données |
Bases de données | Mount-Database | Base de données |
Bases de données | Move-DatabasePath | Serveur et base de données |
Bases de données | Remove-MailboxDatabase | Serveur ou base de données |
Bases de données | Set-MailboxDatabase | Base de données |
Haute disponibilité | Add-DatabaseAvailabilityGroupServer | Serveur |
Disponibilité élevée | Add-MailboxDatabaseCopy | Serveur |
Disponibilité élevée | Move-ActiveMailboxDatabase | Serveur |
Disponibilité élevée | Remove-DatabaseAvailabilityGroupServer | Serveur |
Disponibilité élevée | Remove-MailboxDatabaseCopy | Serveur ou base de données |
Disponibilité élevée | Resume-MailboxDatabaseCopy | Serveur ou base de données |
Disponibilité élevée | Set-MailboxDatabaseCopy | Serveur ou base de données |
Disponibilité élevée | Suspend-MailboxDatabaseCopy | Serveur ou base de données |
Disponibilité élevée | Update-MailboxDatabaseCopy | Serveur ou base de données |
Destinataires | Connect-Mailbox | Base de données |
Destinataires | Enable-Mailbox | Base de données |
Destinataires | New-Mailbox | Base de données |
Destinataires | New-MoveRequest | Base de données |
Résolution des problèmes | Test-MapiConnectivity | Database |
Les étendues de base de données et les versions antérieures d’Exchange
Le concept des étendues de base de données a été introduit pour la première fois dans Microsoft Exchange 2010 Service Pack 1 (SP1) et continue d'être pris en charge dans Exchange 2013. Les versions d'Exchange antérieures à Exchange 2010 SP1 prennent en charge uniquement les étendues de destinataire et les étendues de configuration de serveur. Si vous créez une nouvelle étendue de base de données sur un serveur Exchange 2010 SP1 ou ultérieur, vous recevrez l'avertissement suivant :
WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.
Lorsque vous créez une étendue de base de données, elle s'applique uniquement aux utilisateurs se connectant à des serveurs exécutant Exchange 2010 SP1 ou ultérieur. Les utilisateurs qui se connectent à des serveurs exécutant des versions antérieures à Exchange 2010 SP1 ne disposeront d'aucune attribution de rôle associée à des étendues de base de données qui leur sont appliquées. Cela signifie que les autorisations délivrées par ces attributions de rôle ne seront pas accordées aux utilisateurs se connectant à des serveurs exécutant des versions antérieures à Exchange 2010 SP1. Les étendues de base de données ne peuvent pas être créées, supprimées, modifiées ni consultées depuis des serveurs exécutant des versions antérieures à Exchange 2010 SP1.
Une étendue de base de données peut inclure n'importe quelle base de données de votre organisation Exchange. Ceci comprend des serveurs Exchange Server 2007, Exchange 2010 et Exchange 2013. Ceci vous permet de contrôler quelles bases de données peuvent être gérées par les utilisateurs, quelle que soit la version d' Exchange. Comme pour d'autres étendues de base de données, les attributions de rôles associées à des étendues contenant des bases de données Exchange 2007 et Exchange 2010 s'appliquent uniquement aux utilisateurs se connectant à un serveur Exchange 2010 SP1 ou ultérieur.
Les utilisateurs se connectant à un serveur dont la version est antérieure à Exchange 2010 SP1 peuvent afficher et modifier les attributions de rôles associées aux étendues de base de données. Cela inclut le changement de l'étendue de configuration sur une attribution de rôle existante en une étendue de serveur si celle-ci est alors associée à une étendue de base de données. Cependant, si l'étendue de configuration sur une attribution de rôle est modifiée en étendue de serveur et si un utilisateur veut ultérieurement revenir à une étendue de base de données, ou encore passer d'une étendue de configuration à une autre étendue de base de données, cet utilisateur doit effectuer le changement lorsqu'il est connecté à un serveur Exchange 2010 SP1 ou ultérieur. Les utilisateurs ne peuvent spécifier des étendues de serveur que lorsqu'ils modifient l'étendue de configuration sur une attribution de rôle en étant connectés à un serveur dont la version est antérieure à Exchange 2010 SP1.