Partager via


Rôle des règles de transport

S'applique à : Exchange Server 2010

Dernière rubrique modifiée : 2009-10-12

Le rôle de gestion Transport Rules permet aux administrateurs de gérer les règles de transport dans une organisation.

Ce rôle d’attribution est l’un des rôles intégrés dans le modèle des autorisations de contrôle d’accès basé sur un rôle (RBAC) dans Microsoft Exchange Server 2010. Les rôles de gestion, qui sont attribués à un ou plusieurs groupes de rôles de gestion, des stratégies d’attribution de rôle de gestion, des utilisateurs ou des groupes de sécurité universels, agissent en tant que groupage logique des cmdlets ou scripts qui sont associés pour fournir un accès afin d’afficher ou de modifier la configuration des composants Exchange 2010, tels que des boîtes aux lettres, des règles de transport et des destinataires. Si une cmdlet ou un script et ses paramètres, appelés « entrée de rôle de gestion », sont inclus dans un rôle, cette cmdlet ou ce script et ses paramètres peuvent être exécutés par les utilisateurs qui ont attribué le rôle. Pour plus d’informations sur les rôles de gestion et les entrées de rôles de gestion, voir Présentation des rôles de gestion.

Pour plus d’informations sur les rôles de gestion, les groupes de rôles de gestion et les autres composants de contrôle d’accès basé sur un rôle, voir Présentation du contrôle d'accès basé sur un rôle.

Gestion des attributions de rôles

Pour que ce rôle puisse accorder des autorisations, il doit être attribué à la personne affectée au rôle, qui peut être un groupe de rôles, un utilisateur ou un groupe de sécurité universel (USG). Cette affectation s’effectue à l’aide des attributions de rôles de gestion. Les attributions de rôles lient les personnes affectées au rôle aux rôles. Si plusieurs rôles sont attribués à une personne affectée au rôle, celle-ci bénéficie de l’association de toutes les autorisations accordées par tous les rôles attribués.

En plus de la liaison des personnes affectées au rôle pour ces rôles, les attributions de rôles peuvent également être appliquées aux étendues de gestion intégrées ou personnalisées. Les étendues de gestion contrôlent quels objets destinataire et serveur peuvent être modifiés par les personnes affectées au rôle. Si ce rôle est attribué à une personne affectée au rôle mais qu’une étendue de gestion autorise la personne affectée au rôle à gérer uniquement certains objets basés sur une étendue définie, cette personne peut uniquement utiliser les autorisations accordées par ce rôle sur ces objets spécifiques. Les autorisations fournies par ce rôle ne peuvent pas être appliquées aux objets hors de l’étendue définie sur l’attribution de rôle. Pour plus d’informations sur les attributions de rôle et les étendues, voir les rubriques suivantes :

Ce rôle est attribué à un ou plusieurs groupes de rôles par défaut. Pour plus d’informations, voir la section « Attributions de rôles de gestion par défaut ».

Si vous souhaitez afficher une liste de groupes de rôles, d’utilisateurs ou de groupes de sécurité universels attribués à ce rôle, utilisez la commande suivante.

Get-ManagementRoleAssignment -Role "Active Directory Permissions"

Attributions de rôles normales et de délégation

Ce rôle peut être attribué aux personnes affectées au rôle à l’aide d’attributions de rôles normales ou de délégation. Les attributions de rôles normales accordent des autorisations fournies par le rôle à la personne affectée au rôle. Les attributions de rôle de délégation accordent à la personne affectée au rôle la possibilité d’affecter le rôle aux autres personnes affectées au rôle. Pour plus d’informations sur les attributions de rôles normales ou de délégation, voir Présentation des attributions de rôles de gestion.

Ajout ou suppression des attributions de rôles

Vous pouvez modifier les personnes pour lesquelles le rôle est attribué. En modifiant la personne pour laquelle ce rôle est attribué, vous modifiez la personne dont les autorisations ont été accordées. Vous pouvez attribuer ce rôle à d’autres groupes de rôles intégrés ou vous pouvez créer des groupes de rôles et leur attribuer ce rôle. Vous pouvez également attribuer ce rôle aux utilisateurs ou groupes de sécurité universels. Cependant, nous vous recommandons de limiter l’attribution de rôles aux utilisateurs et groupes de sécurité universels car de telles attributions risquent d’augmenter sensiblement la complexité de votre modèle d’autorisations.

Pour attribuer ce rôle à d’autres personnes affectées au rôle, ce dernier doit être attribué à un groupe de rôles, dont vous faites partie, directement à vous ou à un groupe de sécurité universel dont vous êtes membre, en utilisant une attribution de rôle de délégation. Pour plus d’informations sur les attributions de rôle de délégation, voir la section « Attributions de rôles normales et de délégation ».

Vous pouvez également supprimer ce rôle à partir des groupes de rôle intégrés, des groupes de rôles que vous créez, des utilisateurs et des groupes de sécurité universels. Cependant, il doit toujours y avoir au moins une attribution de rôle de délégation entre ce rôle et un groupe de rôles ou un groupe de sécurité universel. Vous ne pouvez pas supprimer la dernière attribution de rôle de délégation. Cette limitation permet d’empêcher de vous déconnecter du système.

Dd876885.important(fr-fr,EXCHG.140).gifImportant :
Il doit toujours y avoir au moins une attribution de rôle de délégation entre ce rôle et un groupe de rôles ou un groupe de sécurité universel. Vous ne pouvez pas supprimer la dernière attribution de rôle de délégation associée à ce rôle si la dernière attribution est affectée à un utilisateur.

Pour plus d’informations sur la manière d’ajouter ou de supprimer des attributions entre ce rôle et les groupes de rôle, les utilisateurs et les groupes de sécurité universels, voir les rubriques suivantes :

Modification des étendues de gestions sur les attributions de rôles

Vous pouvez également modifier les étendues de gestion sur les attributions de rôles existantes entre ce rôle et les personnes affectées au rôle. En modifiant les étendues sur ces attributions de rôles, vous contrôlez les objets qui peuvent être gérés à l’aide des autorisations fournies par ce rôle. Vous pouvez modifier l’étendue sur une attribution de rôle de plusieurs manières. Vous pouvez utiliser l’une des méthodes suivantes :

  • Ajouter une étendue personnalisée à l’aide de la cmdlet Set-ManagementRoleAssignment. Pour plus d’informations, consultez les rubriques suivantes :
  • Ajouter ou modifier une étendue de l’unité d’organisation à l’aide de la cmdlet Set-ManagementRoleAssignment. Pour plus d’informations, voir Modifier une attribution de rôle.
  • Ajouter ou modifier une étendue prédéfinie à l’aide de la cmdlet Set-ManagementRoleAssignment. Pour plus d’informations, voir Modifier une attribution de rôle.
  • Modifier les filtres d’étendue destinataire ou serveur ou la liste des serveurs sur une étendue personnalisée associée à une attribution de rôle à l’aide de la cmdlet Set-ManagementScope. Pour plus d’informations, voir Modifier une étendue de rôle.

Activation ou désactivation des attributions de rôles

En activant ou en désactivant une attribution de rôle, vous contrôlez si cette attribution est effective ou non. Si une attribution de rôle est désactivée, les autorisations accordées par le rôle associé ne sont pas appliquées à la personne affectée au rôle. C’est commode si vous souhaitez temporairement supprimer des autorisations sans supprimer une attribution de rôle. Pour plus d’informations, voir Modifier une attribution de rôle.

Gestion par défaut des attributions de rôles

Ce rôle a des attributions de rôle pour une ou plusieurs personnes affectées au rôle. Le tableau suivant indique si l’attribution de rôle est normale ou déléguée. Il indique également les étendues de gestion appliquées à chaque attribution. La liste suivante décrit chaque colonne :

  • Attribution normale   Les attributions de rôle normales permettent à la personne affectée au rôle d’accéder aux autorisations fournies par les entrées de rôle de gestion pour ce dernier.
  • Attribution de délégation   Les attributions de rôle de délégation donnent à la personne affectée au rôle la possibilité de l’attribuer aux groupes de rôle, aux utilisateurs ou aux groupes de sécurité universels.
  • Étendue de lecture du destinataire   L’étendue de lecture du destinataire détermine les objets destinataire que la personne affectée au rôle est autorisée à lire à partir de Active Directory.
  • Étendue d’écriture du destinataire   L’étendue d’écriture du destinataire détermine les objets destinataire que la personne affectée au rôle est autorisée à modifier dans Active Directory.
  • Étendue de lecture de configuration   L’étendue de lecture de configuration détermine les objets serveur et de configuration que la personne affectée au rôle est autorisée à lire à partir de Active Directory.
  • Étendue d’écriture de configuration   L’étendue d’écriture de configuration détermine les objets serveur et d’organisation que la personne affectée au rôle est autorisée à modifier dans Active Directory.

Attributions de rôles de gestion par défaut pour ce rôle

Groupe de rôles Attribution normale Délégation d’une attribution Étendue de lecture du destinataire Étendue d’écriture du destinataire Configuration de l’étendue de lecture Configuration de l’étendue d’écriture

Gestion de l’organisation

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Gestion des enregistrements

X

 

Organization

Organization

OrganizationConfig

OrganizationConfig

Gestion de la personnalisation des rôles

Ce rôle a été configuré pour offrir à une personne affectée au rôle toutes les cmdlets nécessaires ainsi que leurs paramètres pour gérer les fonctionnalités et les composants répertoriés au début de cette rubrique. D’autres rôles ont également été fournis pour activer la gestion d’autres fonctionnalités. En ajoutant et en supprimant des rôles dans des groupes de rôles, vous pouvez créer un modèle d’autorisations personnalisées sans personnaliser des rôles de gestion individuels. Pour obtenir une liste complète de rôles, voir Rôles de gestion intégrés. Pour plus d’informations sur la personnalisation des groupes de rôles, voir les rubriques suivantes :

Si vous décidez que vous avez besoin de créer une version personnalisée de ce rôle, vous devez créer un rôle enfant et personnaliser le nouveau rôle.

Dd876885.Caution(fr-fr,EXCHG.140).gifAttention :
Les informations suivantes vous permettent d’effectuer la gestion avancée d’autorisations. La personnalisation des rôles de gestion peut augmenter considérablement la complexité de votre modèle d’autorisations. Vous risquez d’interrompre le fonctionnement de certaines fonctionnalités si vous remplacez le rôle de gestion intégré par un rôle personnalisé et configuré de manière incorrecte.

Les étapes suivantes sont celles les plus courantes pour créer un rôle personnalisé et l’attribuer à une personne affectée au rôle :

  1. Créez une copie de ce rôle à l’aide de la cmdlet New-ManagementRole. Pour plus d’informations, voir Créer un rôle.
  2. Modifiez ou supprimez les entrées de rôle sur le nouveau rôle à l’aide des cmdlets Set-ManagementRoleEntry et Remove-ManagementRoleEntry. Vous ne pouvez pas ajouter d’entrées de rôles au nouveau rôle car il ne peut contenir que les entrées de rôle sur le rôle intégré parent. Pour plus d’informations, consultez les rubriques suivantes :
  3. Si vous souhaitez remplacer le rôle intégré par le nouveau rôle personnalisé, supprimez toute attribution de rôle associée au rôle intégré à l’aide de la cmdlet Remove-ManagementRoleAssignment. Pour plus d’informations, consultez les rubriques suivantes :
  4. Ajoutez le nouveau rôle personnalisé aux personnes affectées au rôle requis à l’aide de la cmdlet New-ManagementRoleAssignment. Pour plus d’informations, consultez les rubriques suivantes :