Gérer les groupes de rôles dans Exchange Server
Un groupe de rôles d’administration est un groupe de sécurité universel (USG) utilisé dans le modèle d’autorisations RBAC (Role Based Access Control) dans Exchange Server. Un groupe de rôles de gestion simplifie l'attribution des rôles de gestion à un groupe d'utilisateurs. Le même ensemble de rôles est attribué à tous les membres d'un groupe de rôles. Pour plus d’informations sur les groupes de rôles dans Exchange Server, consultez Présentation des groupes de rôles d’administration.
Autres tâches de gestion relatives aux groupes de rôles, voir Autorisations.
Ce qu'il faut savoir avant de commencer
Durée d’exécution estimée de chaque procédure : 5 à 10 minutes
Pour ouvrir le Centre d’administration Exchange, consultez Centre d’administration Exchange dans Exchange Server. Pour ouvrir l’environnement de ligne de commande Exchange Management Shell, consultez Ouvrir l’environnement de ligne de commande Exchange Management Shell.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Groupes de rôles » dans la rubrique Autorisations pour la gestion des rôles.
Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.
Conseil
Vous rencontrez des difficultés ? Demandez de l'aide en participant aux forums Exchange. Visitez le forum à l'adresse : Exchange Server, Exchange Online ou Exchange Online Protection.
Créer un groupe de rôles
Si vous souhaitez personnaliser les autorisations que vous pouvez attribuer à un groupe d’utilisateurs, créez un groupe de rôles de gestion personnalisé.
Utiliser le CAE pour créer un groupe de rôles
Dans le Centre d’administration Exchange (EAC), accédez à Autorisations>Rôles d’administrateur, puis cliquez sur Ajouter une
Dans la fenêtre Nouveau groupe de rôles, fournissez un nom pour le nouveau groupe de rôles.
Vous pouvez sélectionner dès à présent les rôles à attribuer au groupe de rôles et les membres à ajouter au groupe de rôles, ou les sélectionner ultérieurement.
Sélectionnez l'étendue d'écriture à appliquer au nouveau groupe de rôles.
Cliquez sur Enregistrer pour créer le groupe de rôle.
Utiliser le Environnement de ligne de commande Exchange Management Shell pour créer un groupe de rôles
Pour créer un groupe de rôles, voir la section Examples dans New-RoleGroup.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez bien créé un groupe de rôles, procédez comme suit :
Dans le CENTRE d’administration Exchange, accédez à Autorisations>Rôles d’administrateur.
Vérifiez que le nouveau groupe de rôles apparaît dans la liste des groupes de rôles, puis sélectionnez-le.
Vérifiez que les membres, les rôles attribués et l'étendue que vous avez indiqués dans le nouveau groupe de rôles sont répertoriés dans le volet des informations relatives au groupe de rôles.
Copier un groupe de rôles
Utiliser le CAE pour copier un groupe de rôles
Si vous disposez d’un groupe de rôles qui contient les autorisations que vous souhaitez octroyer aux utilisateurs, mais que vous voulez appliquer une autre étendue de gestion, ou supprimer ou ajouter un ou deux rôle(s) de gestion sans devoir ajouter tous les autres rôles manuellement, vous pouvez copier le groupe de rôles existant.
Importante
Vous ne pouvez pas utiliser le CAE pour copier un groupe de rôles si vous avez utilisé l'Environnement de ligne de commande Exchange Management Shell pour configurer plusieurs étendues de rôle de gestion ou des étendues exclusives au niveau du groupe de rôles. Dans ce cas, vous devez utiliser les procédures de l'Environnement de ligne de commande Exchange Management Shell décrites plus loin dans cette rubrique pour copier le groupe de rôles. Pour plus d'informations sur les étendues de rôle de gestion, consultez la rubrique Understanding Management Role Scopes.
Dans le CENTRE d’administration Exchange, accédez à Autorisations>Rôles d’administrateur.
Sélectionnez le groupe de rôles que vous souhaitez copier, puis cliquez sur
Dans la fenêtre Nouveau groupe de rôles, fournissez un nom pour le nouveau groupe de rôles.
Passez en revue les rôles qui ont été copiés dans le nouveau groupe de rôles. Ajoutez ou supprimez des rôles le cas échéant.
Examinez l'étendue d'écriture et modifiez-la si nécessaire.
Passez en revue les membres qui ont été copiés dans le nouveau groupe de rôles. Ajoutez ou supprimez des membres le cas échéant.
Cliquez sur Enregistrer pour créer le groupe de rôle.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour copier un groupe de rôles sans aucune étendue
Stockez le groupe de rôles que vous souhaitez copier dans une variable à l'aide de la commande suivante.
$RoleGroup = Get-RoleGroup <name of role group to copy>
Créez le groupe de rôles et ajoutez aussi des membres à ce groupe, puis indiquez les noms des utilisateurs pouvant déléguer le nouveau groupe de rôles à d'autres utilisateurs. Pour ce faire, utilisez la syntaxe suivante.
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
Par exemple, les commandes suivantes permettent de copier le groupe de rôles Organization Management, et de nommer le nouveau groupe de rôles « Limited Organization Management ». Les membres Isabelle, Carter et Lukas sont ajoutés et le groupe peut être délégué par Jenny et Katie.
$RoleGroup = Get-RoleGroup "Organization Management" New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie
Une fois que le nouveau groupe de rôles est créé, vous pouvez ajouter ou supprimer des rôles, modifier la portée des affectations sur le rôle, et plus encore.
Pour des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques Get-RoleGroup et New-RoleGroup.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour copier un groupe de rôles avec une étendue personnalisée
Stockez le groupe de rôles que vous souhaitez copier dans une variable à l'aide de la commande suivante.
$RoleGroup = Get-RoleGroup <name of role group to copy>
Créez le nouveau groupe de rôles avec une portée personnalisée à l'aide de la syntaxe suivante.
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name>
Par exemple, les commandes suivantes permettent de copier le groupe de rôles Organization Management et de créer un nouveau groupe appelé Vancouver Organization Management avec la portée du destinataire Vancouver Users et la portée de configuration Vancouver Servers.
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"
Vous pouvez également ajouter des membres au groupe de rôles lorsque vous le créez à l’aide du paramètre Members , comme indiqué dans Utiliser Exchange Management Shell pour créer une attribution de rôle sans étendue plus haut dans cette rubrique. Pour plus d'informations sur les étendues de gestion, voir Understanding Management Scopes.
Une fois que le nouveau groupe de rôles est créé, vous pouvez ajouter ou supprimer des rôles et modifier la portée des affectations sur le rôle, entre autres tâches.
Pour des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques Get-RoleGroup et New-RoleGroup.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour copier un groupe de rôles avec une étendue d'unité d'organisation
Stockez le groupe de rôles que vous souhaitez copier dans une variable à l'aide de la commande suivante.
$RoleGroup = Get-RoleGroup <name of role group to copy>
Créez le nouveau groupe de rôles avec une portée personnalisée à l'aide de la syntaxe suivante.
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
Par exemple, les commandes suivantes permettent de copier le groupe de rôles Recipient Management et de créer un nouveau groupe appelé Toronto Recipient Management qui permet de gérer uniquement les utilisateurs de l'unité d'organisation Toronto Users.
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"
Vous pouvez également ajouter des membres au groupe de rôles lorsque vous le créez à l’aide du paramètre Members , comme indiqué dans Utiliser Exchange Management Shell pour créer une attribution de rôle sans étendue plus haut dans cette rubrique. Pour plus d'informations sur les étendues de gestion, voir Understanding Management Scopes.
Une fois que le nouveau groupe de rôles est créé, vous pouvez ajouter ou supprimer des rôles, modifier la portée des affectations sur le rôle, et plus encore.
Pour des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques Get-RoleGroup et New-RoleGroup.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez bien copié un groupe de rôles, procédez comme suit :
Dans le CENTRE d’administration Exchange, accédez à Autorisations>Rôles d’administrateur.
Vérifiez que le groupe de rôles copié apparaît dans la liste des groupes de rôles, puis sélectionnez-le.
Vérifiez que les membres, les rôles attribués et l'étendue que vous avez indiqués dans le groupe de rôles copié sont répertoriés dans le volet des informations relatives au groupe de rôles.
Supprimer un groupe de rôles
Si vous n’avez plus besoin du groupe de rôles que vous avez créé, vous pouvez le supprimer. Lorsque vous supprimez un groupe de rôles, les attributions de rôle de gestion entre le groupe de rôles et les rôles de gestion sont supprimées. Les rôles de gestion ne sont pas supprimés. Si un utilisateur dépendait du groupe de rôles pour accéder à une fonctionnalité, il n'y aura plus accès. Vous ne pouvez pas supprimer les rôles intégrés.
Utiliser le CAE pour supprimer un groupe de rôles
Dans le CENTRE d’administration Exchange, accédez à Autorisations>Rôles d’administrateur.
Sélectionnez le groupe de rôles que vous souhaitez supprimer, puis cliquez sur Supprimer
Vérifiez que vous voulez effectivement supprimer le groupe de rôles sélectionné et, si tel est le cas, répondez Oui à l'avertissement.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour supprimer un groupe de rôles
Pour supprimer un groupe de rôles, voir la section Examples dans Remove-RoleGroup.
Afficher des groupes de rôles
Vous pouvez afficher une liste de groupes de rôles ou des informations détaillées sur un groupe de rôles spécifique de votre organisation.
Utiliser le CAE pour afficher une liste de groupes de rôles et les informations détaillées d'un groupe de rôles
Dans le CENTRE d’administration Exchange, accédez à Autorisations>Rôles d’administrateur. Tous les groupes de rôles de votre organisation sont répertoriés ici.
Sélectionnez un groupe de rôles pour en afficher les membres, les rôles attribués et l'étendue.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour afficher une liste de groupes de rôles et les informations détaillées d'un groupe de rôles
Pour afficher une liste de groupes de rôles, voir la section Examples dans Get-RoleGroup.
Ajouter un rôle à un groupe de rôles
L’ajout d’un rôle de gestion à un groupe de rôles est le moyen le plus efficace et le plus rapide d'octroyer des autorisations à un groupe d’administrateurs ou d'utilisateurs spécialistes. Si vous voulez permettre à des utilisateurs membres d'un groupe de rôles de gérer une fonctionnalité, vous devez ajouter le rôle de gestion qui gère cette fonctionnalité au groupe de rôles. Une fois que le rôle est ajouté, les membres du groupe de rôles se voient accorder les autorisations fournies par le rôle.
Utiliser le CAE pour ajouter un rôle de gestion à un groupe de rôles
Importante
Vous ne pouvez pas utiliser le Centre d'administration Exchange (CAE) pour ajouter des rôles à un groupe de rôles si vous avez utilisé l'Environnement de ligne de commande Exchange Management Shell pour configurer plusieurs étendues de rôle de gestion ou des étendues exclusives au niveau du groupe de rôles. Dans ce cas, vous devez utiliser les procédures de l'Environnement de ligne de commande Exchange Management Shell décrites plus loin dans cette rubrique pour ajouter des rôles au groupe de rôles. Pour plus d'informations sur les étendues de rôle de gestion, consultez la rubrique Understanding Management Role Scopes.
Dans le CENTRE d’administration Exchange, accédez à Autorisations>Rôles d’administrateur.
Sélectionnez le groupe de rôles auquel vous souhaitez ajouter un rôle, puis cliquez sur Modifier.
Dans la section Rôles, sélectionnez les rôles à ajouter au groupe de rôles.
Lorsque vous avez terminé l'ajout de rôles au groupe de rôles, cliquez sur Enregistrer.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour créer une attribution de rôle sans aucune étendue
Vous pouvez créer une attribution de rôle sans aucune portée entre un rôle et un groupe de rôles. Lorsque vous effectuez cette opération, les étendues d'écriture implicite et de lecture implicite du rôle s'appliquent.
Utilisez la syntaxe suivante pour attribuer un rôle sans aucune portée à un groupe de rôles. Un nom d'attribution de rôle est créé automatiquement si vous n'en spécifiez pas un.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>
Cet exemple attribue le rôle de gestion Transport Rules au groupe de rôles Seattle Compliance.
New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-ManagementRoleAssignment.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour créer une attribution de rôle avec une étendue prédéfinie
Si une portée prédéfinie correspond aux besoins de votre entreprise, vous pouvez l'appliquer à l'attribution de rôle plutôt que d'en créer une nouvelle. Pour obtenir une liste des étendues prédéfinies et leur description, consultez la rubrique Understanding Management Role Scopes.
Pour plus d'informations sur les attributions de rôles, consultez la rubrique Understanding Management Role Assignments.
Utilisez la syntaxe suivante pour attribuer un rôle à un groupe de rôles avec une portée prédéfinie. Un nom d'attribution de rôle est créé automatiquement si vous n'en spécifiez pas un.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >
Cet exemple attribue le rôle Message Tracking au groupe de rôles Enterprise Support et applique la portée prédéfinie Organization.
New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-ManagementRoleAssignment.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour créer une attribution de rôle avec une étendue de destinataire filtrée
Si vous avez créé une étendue basée sur un filtre de destinataire, vous devez inclure l’étendue dans la commande utilisée pour attribuer le rôle à un groupe de rôles à l’aide du paramètre CustomRecipientWriteScope .
Vous pouvez également inclure une portée d'écriture de configuration pour créer une attribution de rôle comportant une portée d'écriture de destinataire.
Pour plus d'informations sur les attributions de rôle et les étendues, voir les rubriques suivantes :
Utilisez la syntaxe suivante pour attribuer un rôle à un groupe de rôles avec une portée de destinataire filtrée. Un nom d'attribution de rôle est créé automatiquement si vous n'en spécifiez pas un.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>
Cet exemple attribue le rôle Message Tracking au groupe de rôles Seattle Recipient Admins et applique la portée Seattle Recipients.
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-ManagementRoleAssignment.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour créer une attribution de rôle avec une étendue de configuration
Si vous avez créé un filtre de configuration de serveur ou de base de données ou une étendue basée sur une liste, vous devez inclure l’étendue dans la commande utilisée pour attribuer le rôle à un groupe de rôles à l’aide du paramètre CustomConfigWriteScope .
Vous pouvez également inclure une portée d'écriture de destinataire pour créer une attribution de rôle comportant une portée d'écriture de configuration.
Pour plus d'informations sur les attributions de rôle et les étendues de gestion, voir les rubriques suivantes :
Utilisez la syntaxe suivante pour attribuer un rôle à un groupe de rôles avec une étendue de configuration. Un nom d'attribution de rôle est créé automatiquement si vous n'en spécifiez pas un.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>
Cet exemple attribue le rôle Databases au groupe de rôles Seattle Server Admins et applique la portée Seattle Servers.
New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-ManagementRoleAssignment.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour créer une attribution de rôle avec une étendue d'unité d'organisation
Si vous souhaitez étendre l’étendue d’écriture d’un rôle à une unité d’organisation, vous pouvez spécifier l’unité d’organisation dans le paramètre RecipientOrganizationalUnitScope directement.
Étendue d’écriture du destinataire : détermine quels membres des objets du destinataire du groupe de rôles sont autorisés à effectuer des modifications dans exADNoMk.
Utilisez la commande suivante pour attribuer un rôle à un groupe de rôles et réserver la portée d'écriture d'un rôle à une unité d'organisation spécifique. Un nom d'attribution de rôle est créé automatiquement si vous n'en spécifiez pas un.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>
Cette exemple attribue le rôle Mail Recipients au groupe de rôles Seattle Recipient Admins et applique la portée de l'attribution à l'unité d'organisation Sales\Users dans le domaine Contoso.com domain.
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-ManagementRoleAssignment.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez bien ajouté des rôles à un groupe de rôles, procédez comme suit :
Dans le CENTRE d’administration Exchange, accédez à Autorisations>Rôles d’administrateur.
Sélectionnez le groupe de rôles auquel vous avez ajouté des rôles. Dans le volet des informations du groupe de rôles, vérifiez que les rôles ajoutés sont répertoriés.
Supprimer un rôle d'un groupe de rôles
Le meilleur moyen pour révoquer des autorisations accordées à un groupe d'administrateurs ou d'utilisateurs spécialistes est de supprimer un rôle d'un groupe de rôles de gestion. Si vous ne souhaitez pas accorder à des administrateurs ou à des utilisateurs spécialistes l'autorisation de gérer une fonctionnalité, vous devez supprimer le rôle de gestion du groupe qui gère ces autorisations. Une fois le rôle supprimé, les membres du groupe de rôles ne seront plus autorisés à gérer la fonctionnalité.
Remarque
Certains groupes de rôles (comme le groupe de rôles Gestion de l'organisation) limitent les rôles pouvant être supprimés. Pour plus d'informations, voir Understanding Management Role Groups. > Si un administrateur est membre d’un autre groupe de rôles qui contient des rôles de gestion qui accordent des autorisations pour gérer la fonctionnalité, vous devez soit supprimer l’administrateur des autres groupes de rôles, soit supprimer le rôle qui accorde des autorisations pour gérer la fonctionnalité des autres groupes de rôles.
Utiliser le CAE pour supprimer un rôle de gestion dans un groupe de rôles
Importante
Vous ne pouvez pas utiliser le Centre d'administration Exchange (CAE) pour supprimer des rôles d'un groupe de rôles si vous avez utilisé l'Environnement de ligne de commande Exchange Management Shell pour configurer plusieurs étendues ou des étendues exclusives au niveau du groupe de rôles. Dans ce cas, vous devez supprimer les rôles du groupe de rôles en utilisant les procédures de l'Environnement de ligne de commande Exchange Management Shell décrites ci-après. Pour plus d'informations sur les étendues de rôle de gestion, consultez la rubrique Understanding Management Role Scopes.
Dans le CENTRE d’administration Exchange, accédez à Autorisations>Rôles d’administrateur.
Sélectionnez le groupe de rôles dont vous souhaitez supprimer un rôle, puis cliquez sur Modifier.
Dans la section Rôles, sélectionnez les rôles à supprimer du groupe de rôles.
Lorsque vous avez terminé la suppression des rôles du groupe de rôles, cliquez sur Enregistrer.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour supprimer un rôle d'un groupe de rôles
Vous pouvez supprimer des rôles des groupes de rôles en récupérant l'attribution de rôle de gestion à l'aide de la cmdlet Get-ManagementRoleAssignment, puis en canalisant l'attribution de rôle renvoyée à la cmdlet Remove-ManagementRoleAssignment. Sauf si vous souhaitez supprimer simultanément les attributions de rôles de délégation et régulières, spécifiez le paramètre Delegating pour spécifier si vous souhaitez supprimer les attributions de rôles régulières ou de délégation.
Pour plus d'informations sur les attributions de rôles normales ou de délégation, voir Understanding Management Role Assignments.
Cette procédure utilise le traitement en pipeline. Pour plus d’informations sur le pipelining, consultez about_Pipelines.
Pour supprimer un rôle d'un groupe de rôles, utilisez la syntaxe suivante.
Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment
Cet exemple permet de supprimer le rôle Groupes de distribution du groupe de rôles des administrateurs des destinataires Seattle, qui autorise les administrateurs à gérer les groupes de distribution. Étant donné que nous voulons supprimer l’attribution de rôle qui fournit des autorisations pour gérer les groupes de distribution, le paramètre Delegating est défini sur $False
, qui retourne uniquement les attributions de rôles normales.
Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Remove-ManagementRoleAssignment.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez bien supprimé des rôles d'un groupe de rôles, procédez comme suit :
Dans le CENTRE d’administration Exchange, accédez à Autorisations>Rôles d’administrateur.
Sélectionnez le groupe de rôles duquel vous avez supprimé des rôles. Dans le volet des informations du groupe de rôles, vérifiez que les rôles supprimés ne sont plus répertoriés.
Modifier l'étendue d'un groupe de rôles
Les attributions de rôles de gestion entre un groupe de rôles et un rôle contenant des étendues de gestion, qui déterminent les objets disponibles pour les membres de ce groupe de rôles. En modifiant l'étendue d'écriture sur un groupe de rôles, vous pouvez modifier des objets rendus disponibles aux membres du groupe de rôles pour les créer, les modifier ou les supprimer. Vous ne pouvez pas modifier l'étendue de lecture sur un groupe de rôles.
Exchange Server inclut des étendues qui sont appliquées par défaut aux attributions de rôles lorsqu’aucune étendue personnalisée n’est créée. Si vous souhaitez utiliser une étendue personnalisée avec une attribution de rôles sur un groupe de rôles, vous devez d'abord en créer une. Pour plus d'informations sur la création d'étendues personnalisées, qui est une tâche avancée, consultez la rubrique Create a Regular or Exclusive Scope.
Pour plus d’informations sur les étendues de rôle de gestion et les attributions dans Exchange Server, consultez les rubriques suivantes :
Utiliser le CAE pour modifier l'étendue d'un groupe de rôles
Quand vous utilisez le Centre d'administration Exchange (CAE) pour modifier l'étendue d'un groupe de rôles, vous modifiez en réalité l'étendue de toutes les attributions de rôles entre le groupe de rôles et chacun des rôles de gestion affectés au groupe de rôles. Pour modifier l'étendue de certaines attributions de rôles, vous devez utiliser les procédures de l'Environnement de ligne de commande Exchange Management Shell décrites plus loin dans cette rubrique.
Importante
Vous ne pouvez pas utiliser le Centre d'administration Exchange (CAE) pour gérer les étendues des attributions de rôles entre les rôles et un groupe de rôles si vous avez utilisé l'Environnement de ligne de commande Exchange Management Shell pour configurer plusieurs étendues ou des étendues exclusives de ces attributions de rôles. Dans ce cas, vous devez utiliser les procédures de l'Environnement de ligne de commande Exchange Management Shell décrites plus loin dans cette rubrique pour gérer les étendues. Pour plus d'informations sur les étendues de rôle de gestion, consultez la rubrique Understanding Management Role Scopes.
Dans le CENTRE d’administration Exchange, accédez à Autorisations>Rôles d’administrateur.
Sélectionnez le groupe de rôles sur lequel vous souhaitez modifier l’étendue, puis cliquez sur Modifier.
Sélectionnez une des deux options de portée d'écriture suivantes :
Une étendue d'écriture dans la zone déroulante, où vous pouvez sélectionner soit l'étendue d'écriture par défaut soit une étendue d'écriture personnalisée.
Unité d’organisation : sélectionnez cette option et fournissez une unité d’organisation (UO) si vous souhaitez étendre ce groupe de rôles à une unité d’organisation.
Cliquez sur Enregistrer pour enregistrer les modifications apportées au groupe de rôles.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour modifier simultanément l'étendue de toutes les attributions de rôle sur un groupe de rôles
Les attributions de rôles entre le groupe de rôles et les rôles attribués peuvent utiliser l'étendue implicite obtenue des rôles, la même étendue personnalisée ou des étendues personnalisées différentes. Pour plus d'informations sur les attributions de rôles, consultez la rubrique Understanding Management Role Assignments.
Les étendues sur les attributions de rôles sont gérées à l'aide de la cmdlet Set-ManagementRoleAssignment. Vous ne pouvez pas gérer les étendues à l'aide de la cmdlet Set-RoleGroup.
Pour modifier simultanément l'étendue de toutes les attributions de rôle entre un groupe de rôles et un jeu de rôles de gestion, vous devez d'abord extraire les attributions de rôle du groupe de rôles, puis définir la nouvelle étendue sur chaque attribution. Pour ce faire, récupérez les attributions de rôle à l'aide de la cmdlet Get-ManagementRoleAssignment, puis transmettez-les à la cmdlet Set-ManagementRoleAssignment.
Cette procédure utilise les concepts de pipelining et du commutateur WhatIf . Pour plus d’informations, voir les rubriques suivantes :
Pour définir l'étendue de toutes les attributions de rôle sur un groupe de rôles simultanément, utilisez la syntaxe suivante.
Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
Vous utilisez uniquement les paramètres dont vous avez besoin pour configurer l'étendue que vous souhaitez utiliser. Par exemple, si vous souhaitez remplacer l'étendue du destinataire pour l'ensemble des attributions de rôle sur le groupe de rôles Gestion des destinataires Ventes par le groupe Employés du service des ventes directes, utilisez la commande suivante.
Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"
Remarque
Vous pouvez utiliser le commutateur WhatIf pour vérifier que seules les attributions de rôles que vous souhaitez modifier sont modifiées. Exécutez la commande précédente avec le commutateur WhatIf pour vérifier les résultats, puis supprimez le commutateur WhatIf pour appliquer les modifications.
Pour plus d'informations sur la modification des attributions des rôles de gestion, voir Change a Role Assignment.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour modifier individuellement les attributions de rôle sur un groupe de rôles
Les attributions de rôles entre le groupe de rôles et les rôles attribués peuvent utiliser l'étendue implicite obtenue des rôles, la même étendue personnalisée ou des étendues personnalisées différentes. Pour plus d'informations sur les attributions de rôles, consultez la rubrique Understanding Management Role Assignments.
Les étendues sur les attributions de rôles sont gérées à l'aide de la cmdlet Set-ManagementRoleAssignment. Vous ne pouvez pas gérer les étendues à l'aide de la cmdlet Set-RoleGroup.
Cette procédure utilise les concepts de traitement en pipeline et la cmdlet Format-List. Pour plus d’informations, voir les rubriques suivantes :
Pour modifier l'étendue d'une attribution de rôle entre un groupe de rôles et un rôle de gestion, vous devez d'abord trouver le nom de l'attribution de rôle, puis définir l'étendue sur l'attribution.
Pour rechercher les noms de toutes les attributions de rôle sur un groupe de rôles, utilisez la commande suivante. En transmettant les attributions de rôle de gestion à la cmdlet Format-List, vous pouvez afficher le nom complet de l'attribution.
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
Recherchez le nom de l'attribution de rôle que vous souhaitez modifier. Utilisez le nom de l'attribution de rôle dans l'étape suivante.
Pour définir l'étendue d'une attribution individuelle, utilisez la syntaxe suivante.
Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
Vous utilisez uniquement les paramètres dont vous avez besoin pour configurer l'étendue que vous souhaitez utiliser. Par exemple, si vous souhaitez remplacer l'étendue du destinataire de l'attribution de rôle Destinataires des messages_Destinataires des Ventes par Tous les employés du service des ventes, utilisez la commande suivante.
Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
Pour plus d'informations sur la modification des attributions des rôles de gestion, voir Change a Role Assignment.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Set-ManagementRoleAssignment.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez bien modifié l'étendue d'une attribution de rôle d'un groupe de rôles, procédez comme suit :
Si vous avez utilisé le CAE pour configurer l'étendue du groupe de rôles, procédez comme suit :
Dans le CENTRE d’administration Exchange, accédez à Autorisations>Rôles d’administrateur. Tous les groupes de rôles de votre organisation sont répertoriés ici.
Sélectionnez un groupe de rôles pour afficher l'étendue qui est configurée pour ce groupe de rôles.
Si vous avez utilisé l'Environnement de ligne de commande Exchange Management Shell pour configurer l'étendue du groupe de rôles, procédez comme suit :
Exécutez la commande suivante dans l'Environnement de ligne de commande Exchange Management Shell.
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
Vérifiez que l'étendue d'écriture des attributions de rôles a été remplacée par l'étendue que vous avez indiquée.
Ajouter ou supprimer un délégué de groupe de rôles
Les délégués de groupe de rôles sont des utilisateurs ou des groupes universels de sécurité qui peuvent ajouter ou supprimer des membres dans un groupe de rôle ou encore modifier les propriétés d’un groupe de rôles. En ajoutant ou supprimant des délégués de groupe de rôles, vous pouvez contrôler quels sont ceux autorisés à gérer un groupe de rôles.
Importante
Après avoir ajouté un délégué à un groupe de rôles, ce dernier peut uniquement être géré par les délégués du groupe de rôles ou par les utilisateurs auxquels est affecté, directement ou indirectement le rôle de gestion Gestion des rôles. > Si un utilisateur se voit attribuer, directement ou indirectement, le rôle Gestion des rôles et n’est pas ajouté en tant que délégué du groupe de rôles, l’utilisateur doit utiliser le commutateur BypassSecurityGroupManagerCheck sur les applets de commande Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember et Set-RoleGroup pour gérer un groupe de rôles.
Remarque
Vous ne pouvez pas utiliser le CAE pour ajouter un délégué à un groupe de rôles.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour ajouter un délégué à un groupe de rôles
Pour modifier la liste des délégués sur un groupe de rôles, vous utilisez le paramètre ManagedBy sur l’applet de commande Set-RoleGroup . Le paramètre ManagedBy remplace l’intégralité de la liste des délégués sur le groupe de rôles. Pour ajouter des délégués au groupe de rôles au lieu de remplacer toute la liste de délégués, suivez les étapes suivantes :
Stockez le groupe de rôles dans une variable à l'aide de la commande suivante.
$RoleGroup = Get-RoleGroup <role group name>
Ajoutez le délégué au groupe de rôles stocké dans la variable à l'aide de la commande suivante.
$RoleGroup.ManagedBy += (Get-User <user to add>).Identity
Remarque
Utilisez la cmdlet Get-Group si vous souhaitez ajouter un groupe de sécurité universel.
Répétez l'étape 2 pour chaque délégué que vous souhaitez ajouter.
Appliquez la nouvelle liste de délégués au groupe de rôles réel à l'aide de la commande suivante.
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
Cet exemple illustre l'ajout de l'utilisateur David Strome comme délégué du groupe de rôles Gestion de l'organisation.
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Set-RoleGroup.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour supprimer un délégué d'un groupe de rôles
Pour modifier la liste des délégués sur un groupe de rôles, vous utilisez le paramètre ManagedBy sur l’applet de commande Set-RoleGroup . Le paramètre ManagedBy remplace l’intégralité de la liste des délégués sur le groupe de rôles. Pour supprimer des délégués d'un groupe de rôles au lieu de remplacer toute la liste de délégués, suivez les étapes suivantes :
Stockez le groupe de rôles dans une variable à l'aide de la commande suivante.
$RoleGroup = Get-RoleGroup <role group name>
Supprimez le délégué du groupe de rôles stocké dans la variable à l'aide de la commande suivante.
$RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
Remarque
Utilisez la cmdlet Get-Group si vous souhaitez supprimer un groupe de sécurité universelle.
Répétez l'étape 2 pour chaque délégué que vous souhaitez supprimer.
Appliquez la nouvelle liste de délégués au groupe de rôles réel à l'aide de la commande suivante.
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
Cet exemple illustre la suppression de l'utilisateur David Strome comme délégué du groupe de rôles Gestion de l'organisation.
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Set-RoleGroup.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez bien modifié la liste des délégués d'un groupe de rôles, procédez comme suit :
Exécutez la commande suivante dans l'Environnement de ligne de commande Exchange Management Shell.
Get-RoleGroup <role group name> | Format-List ManagedBy
Vérifiez que les délégués répertoriés sur la propriété ManagedBy incluent uniquement les délégués qui doivent être en mesure de gérer le groupe de rôles.