Partager via


Présentation des groupes de rôles de gestion

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2015-03-09

Un groupe de rôles de gestion est un groupe universel de sécurité utilisé dans le modèle d’autorisation du contrôle d’accès basé sur un rôle dans Microsoft Exchange Server 2010. Un groupe de rôles de gestion simplifie l’attribution des rôles de gestion parmi un groupe d’utilisateurs. Le même ensemble de rôles est attribué à tous les membres d’un groupe de rôles. Des rôles administrateurs et spécialistes sont attribués aux groupes de rôles. Ils définissent les principales tâches administratives dans Exchange 2010 comme la gestion de l’organisation, la gestion des destinataires et d’autres tâches. Les groupes de rôles vous permettent d’attribuer plus facilement un plus grand ensemble d’autorisations à un groupe d’administrateurs et d’utilisateurs spécialistes.

RemarqueRemarque :
Cette rubrique traite de la fonctionnalité RBAC avancée. Si vous souhaitez gérer des autorisations Exchange 2010 de base, comme l’utilisation du panneau de configuration Exchange (ECP) pour ajouter et supprimer des membres dans les groupes de rôles, créer et modifier des groupes de rôles, ou créer et modifier des stratégies d’attribution de rôles, voir Présentation des autorisations.

Table des matières

Couches des groupes de rôles

Gestion du groupe de rôles

Groupes de rôles intégrés

Groupes de rôles liés

Délégation de groupe de rôles

Appartenance au groupe de rôles

Flux de travail de création de groupe de rôles

RemarqueRemarque :
Si vous souhaitez attribuer des autorisations à des utilisateurs pour qu’ils gèrent leurs propres groupes de distribution ou boîtes aux lettres, consultez la rubrique Présentation des stratégies d’attributions de rôles de gestion.

Couches des groupes de rôles

Voici les couches qui constituent le modèle de groupe de rôles :

  • Détenteur de rôle   Un détenteur de rôle est une boîte aux lettres pouvant être ajoutée comme membre d’un groupe de rôles. Lorsqu’une boîte aux lettres est ajoutée comme membre d’un groupe de rôles, les attributions entre les rôles de gestion et le groupe de rôles s’appliquent à la boîte aux lettres. Cette action permet d’accorder à la messagerie toutes les autorisations fournies par les rôles de gestion.

  • Groupe de rôles de gestion   Un groupe de rôles de gestion est un groupe universel de sécurité contenant des boîtes aux lettres appartenant au groupe de rôles. C’est là que vous ajoutez et supprimez des membres et c’est aussi là où les rôles de gestion sont attribués. L’association de tous les rôles sur un groupe de rôles définit tout ce que les utilisateurs ajoutés à un groupe de rôles peuvent gérer dans l’organisation Exchange.

  • Attribution d’un rôle de gestion   Une attribution de rôle de gestion représente le lien entre un rôle de gestion et un groupe de rôles. L’attribution d’un rôle de gestion à un groupe de rôles permet aux membres du groupe d’utiliser des cmdlets et des paramètres définis dans le rôle de gestion. Les attributions de rôles peuvent utiliser des étendues de gestion pour contrôler les endroits où l’attribution peut être utilisée. Pour plus d’informations, voir Présentation des attributions de rôles de gestion.

  • Étendue de rôle de gestion   Une étendue de rôle de gestion représente l’étendue de l’influence ou de l’impact sur une attribution de rôle. Quand un rôle avec une étendue est attribué à un groupe de rôles, l’étendue de gestion vise spécifiquement les objets que l’attribution est autorisée à gérer. L’attribution et son étendue sont ensuite accordées aux membres du groupe de rôles, qui limite ce que peuvent gérer ces membres. Une étendue peut être constituée de listes de serveurs ou de bases de données, d’unités d’organisation ou de filtres sur des objets serveur, base de données ou destinataire. Pour plus d’informations, voir Présentation des portées du rôle de gestion.

  • Rôle de gestion   Un rôle de gestion est un conteneur pour un groupe d’entrées de rôles de gestion. Les rôles sont utilisés pour définir les tâches spécifiques que les membres d’un groupe de rôles auxquels le rôle a été attribué peuvent effectuer. Pour plus d’informations, voir Présentation des rôles de gestion.

  • Entrées de rôle de gestion   Les entrées de rôle de gestion sont les entrées individuelles d’un rôle de gestion qui donnent accès aux cmdlets, scripts et autres autorisations spéciales permettant d’accéder à l’exécution d’une tâche spécifique. Le plus souvent, les entrées de rôle sont constituées d’une cmdlet unique et des paramètres accessibles par le rôle de gestion et par conséquent, par le groupe de rôles auquel le rôle est attribué.

La figure suivante affiche chacune des couches du groupe de rôles dans la liste précédente et la manière dont les couches sont associées.

Couches de groupes de rôles de gestion

Couches de groupes de rôles de gestion

Pour plus d’informations sur le contrôle d’accès basé sur un rôle, consultez la rubrique Présentation du contrôle d'accès basé sur un rôle.

Retour au début

Gestion du groupe de rôles

Lorsque vous créez un groupe de rôles, vous créez le groupe universel de sécurité qui contient les membres du groupe de rôles et vous créez les attributions entre le groupe de rôles et les rôles de gestion que vous spécifiez. D’autre part, vous pouvez éventuellement spécifier une étendue de gestion à appliquer aux attributions de rôles et vous pouvez ajouter les boîtes aux lettres que vous désirez faire appartenir au nouveau groupe de rôles.

Une fois le groupe de rôles créé, chaque couche devient un objet indépendant. Le groupe de rôles reste le point central de la jointure de toutes les couches. Toutefois, chaque couche est gérée individuellement. Par exemple, pour modifier l’étendue de gestion que vous avez appliquée au groupe de rôles lors de sa création, vous devez modifier l’étendue sur chaque attribution de rôle individuelle après la création du groupe de rôles. La gestion du modèle de groupe de rôles se fait à l’aide des cmdlets qui gèrent les couches individuelles du modèle de groupe de rôles.

Le tableau suivant répertorie la couche des groupes de rôles et les rubriques relatives à la procédure que vous pouvez utiliser pour gérer chaque couche.

Rubriques de gestion des groupes de rôles

Couche du modèle de groupe de rôles Rubrique de gestion

Détenteur du rôle

Ajouter des membres un groupe de rôles

Supprimer des membres d’un groupe de rôles

Groupe de rôles

Créer un groupe de rôles

Modifier un groupe de sécurité universelle étranger lié sur un groupe de rôles lié

Ajouter ou supprimer un délégué de groupe de rôles

Supprimer un groupe de rôles

Rôles de gestion et attributions

Ajouter un rôle à un groupe de rôles

Supprimer un rôle à partir d’un groupe de rôles

Changer l’étendue des attributions de rôle dans le groupe de rôles

Entrées de rôles de gestion

Ajouter une entrée de rôle à un rôle

Modifier une entrée de rôle

Supprimer une entrée de rôle à partir d’un rôle

RemarqueRemarque :
La modification des entrées de rôle de gestion dans les rôles de gestion d’un groupe de rôles est une tâche avancée et elle n’est généralement pas requise dans la plupart des cas. Vous pouvez à la place utiliser un rôle de gestion préexistant qui convienne à vos besoins. Pour plus d’informations, voir Groupes de rôles intégrés.

Retour au début

Groupes de rôles intégrés

Les groupes de rôles intégrés sont des rôles fournis avec Exchange 2010. Ils vous fournissent un ensemble de groupes de rôles que vous pouvez utiliser pour donner différents niveaux d’autorisations administratives à des groupes d’utilisateurs. Vous pouvez ajouter des utilisateurs à tous les groupes de rôles intégrés ou en supprimer. Vous pouvez aussi ajouter des attributions de rôles à la majorité des groupes de rôles intégrés ou en supprimer. Les seules exceptions sont les suivantes :

  • Vous ne pouvez pas supprimer d’attributions de rôle de délégation du groupe de rôles Gestion de l’organisation.

  • Vous ne pouvez pas supprimer le rôle de gestion des rôles du groupe de rôles Gestion de l’organisation.

Le tableau suivant répertorie tous les groupes de rôles intégrés inclus dans Exchange 2010. Pour plus d’informations sur les groupes de rôles intégrés, consultez la rubrique Groupes de rôles intégrés.

Groupes de rôles intégrés

Groupe de rôles Description

Gestion de l’organisation

Les administrateurs membres du groupe de rôles Gestion de l’organisation disposent d’un accès administratif sur toute l’organisation Microsoft Exchange 2010 et peuvent exécuter presque n’importe quelle tâche relative à un objet Exchange 2010.

Gestion de l’organisation en affichage seul

Les administrateurs membres du groupe de rôles Afficher uniquement la gestion de l’organisation peuvent afficher les propriétés de n’importe quel objet de l’organisation Exchange.

Gestion des destinataires

Les administrateurs membres du groupe de rôles Gestion des destinataires disposent d’un accès administratif pour créer ou modifier des destinataires Exchange 2010 au sein de l’organisation Exchange 2010.

Gestion de messagerie unifiée

Les administrateurs membres du groupe de rôle de gestion de messagerie unifiée peuvent gérer les fonctionnalités de la messagerie unifiée de l’organisation Exchange comme la configuration du serveur de messagerie unifiée, les propriétés de messagerie unifiée sur les boîtes aux lettres, les invites de messagerie unifiée et la configuration du standard automatique de messagerie unifiée.

Gestion de la détection

Les administrateurs ou les utilisateurs qui sont membres du groupe de rôles Gestion de la découverte peuvent effectuer des recherches de boîtes aux lettres dans l’organisation Exchange pour des données qui correspondent aux critères spécifiques.

Gestion des enregistrements

Les utilisateurs membres du groupe de rôles Gestion des enregistrements peuvent configurer les fonctionnalités de conformité, comme, entre autres, les balises de stratégie de rétention, les classifications de message et les règles de transport.

Gestion du serveur

Les administrateurs membres du groupe de rôles de gestion du serveur disposent d’un accès administratif à la configuration du serveur Exchange 2010. Ils ne disposent pas d’accès à l’administration de la configuration des destinataires Exchange 2010.

Support technique

Les utilisateurs membres du groupe de rôles de support technique peuvent assurer une gestion limitée des destinataires Exchange 2010.

Gestion de l’hygiène

Les utilisateurs membres du groupe de rôles Gestion de l’hygiène peuvent configurer les fonctionnalités d’antivirus et de blocage du courrier indésirable de Exchange 2010. Les programmes tiers intégrés à Exchange 2010 peuvent ajouter des comptes de service à ce groupe de rôles afin de permettre à ces programmes d’accéder aux cmdlets requises pour extraire et configurer Exchange.

Gestion des dossiers publics

Les administrateurs membres du groupe de rôles de gestion public peuvent gérer les dossiers publics et les bases de données sur les serveurs Exchange 2010.

Installation déléguée

Les administrateurs membres du groupe de rôle d’installation déléguée peuvent déployer les serveurs Exchange 2010 mis en service précédemment.

Retour au début

Groupes de rôles liés

Les groupes de rôles liés sont utilisés dans des organisations qui installent Exchange 2010 dans une forêt de ressources dédiée et placent les utilisateurs dans d’autres forêts étrangères approuvées. Les groupes de rôles liés, comme leur nom le laisse entendre, créent un lien entre un groupe de rôles de la forêt Exchange et un groupe universel de sécurité dans une forêt étrangère. Ils s’avèrent particulièrement utiles lorsque les comptes d’utilisateur AD DS Active Directory (Domain Services) des administrateurs d’Exchange ne résident pas dans la même forêt de ressources qu’Exchange. Les groupes de rôle liés peuvent uniquement être associés à un groupe universel de sécurité étranger. De plus, il n’est pas nécessaire de créer une approbation bidirectionnelle entre la forêt Exchange et la forêt étrangère. La forêt Exchange doit approuver la forêt étrangère mais il n’est pas nécessaire que cette dernière approuve la forêt Exchange.

Pour plus d’informations sur les autorisations dans les topologies à plusieurs forêts, consultez la rubrique Présentation des autorisations sur plusieurs forêts.

Un groupe de rôles lié se compose de deux parties :

  • Groupe de rôles lié   Le groupe de rôles lié est un objet conteneur qui associe le groupe universel de sécurité aux attributions de rôles de gestion attribuées au groupe de rôles.

  • Groupe universel de sécurité étranger   Le groupe universel de sécurité étranger contient les membres auxquels doivent être accordées les autorisations fournies par le groupe de rôles lié.

Lorsque vous créez un groupe de rôles lié, vous fournissez un contrôleur de domaine dans la forêt étrangère qui contient les utilisateurs pour lesquels vous désirez gérer la forêt Exchange et le groupe universel de sécurité qui contient ces utilisateurs comme membres, le nom du groupe universel de sécurité étranger et les informations de connexion requises pour accéder à la forêt étrangère. Exchange ajoute l’identificateur de sécurité du groupe universel de sécurité au groupe de rôles lié. L’identificateur de sécurité du groupe universel de sécurité étant la seule identification du groupe universel de sécurité étranger, nous vous recommandons vivement de spécifier la forêt étrangère dans le nom du groupe de rôles si vous disposez de plusieurs forêts étrangères.

Un groupe de rôles lié ne contient pas de membres. Tous les membres de ce groupe de rôles sont gérés à l’aide du groupe universel de sécurité étranger. Autrement dit, il est impossible d’utiliser les cmdlets Update-RoleGroupMember, Add-RoleGroupMember ou Remove-RoleGroupMember pour ajouter ou supprimer des membres du groupe de rôles. Lorsque vous ajoutez des membres au groupe universel de sécurité étranger, les autorisations fournies par le groupe de rôles lié leur sont accordées.

Il est impossible de transformer un groupe de rôles standard, qui contient ses propres membres, en groupe de rôles lié et vice-versa. Si vous souhaitez transformer le groupe de rôles d’un groupe de rôles standard en groupe de rôles lié, vous devez créer un nouveau groupe de rôles lié et dupliquer les attributions des rôles de gestion présents sur le groupe de rôle standard sur le groupe de rôles lié. Cela est également le cas pour les groupes de rôles intégrés car il s’agit de groupes de rôles standard. Si vous désirez assurer l’ensemble de la gestion de votre forêt Exchange à partir d’une forêt étrangère, vous devez créer de nouveaux groupes de rôles liés et ajouter les rôles de gestion qui existent sur les groupes de rôles intégrés aux nouveaux groupes de rôles liés. Pour plus d’informations sur cette procédure, consultez la rubrique Créer des groupes de rôles liés qui reflètent les groupes de rôles intégrés.

Pour plus d’informations sur le déploiement d’Exchange dans une forêt ressource, consultez la rubrique Déployer Exchange 2010 dans une topologie de forêt de ressources Exchange.

Retour au début

Délégation de groupe de rôles

Par défaut, les membres du groupe de rôles Gestion de l’organisation peuvent ajouter des membres aux groupes de rôles et en supprimer. Toutefois, vous voudrez peut-être permettre aux utilisateurs non membres du groupe de rôles Gestion de l’organisation d’ajouter et de supprimer des membres du groupe de rôles. Si tel est le cas, vous pouvez utiliser la délégation de groupe de rôles.

La délégation de groupe de rôles est contrôlée par la propriété ManagedBy sur chaque groupe de rôles. La propriété ManagedBy contient une liste d’utilisateurs pouvant ajouter et supprimer des membres de ce groupe de rôles ou modifier la configuration d’un groupe de rôles. Aucune autorisation n’est attribuée aux utilisateurs par le groupe de rôles à moins d’appartenir également au groupe de rôles.

Si la propriété ManagedBy est définie sur un groupe de rôles, seuls les utilisateurs qui sont répertoriés comme gestionnaires de groupe de rôles sur cette propriété peuvent modifier un groupe de rôles ou l’appartenance à un groupe de rôles par défaut. Cependant, un paramètre facultatif sur les cmdlets qui modifient les groupes de rôles ou l’appartenance à des groupes de rôles peut supprimer cette restriction. Le commutateur BypassSecurityGroupManagerCheck peut être utilisé par des utilisateurs membres du rôle Gestion de l’organisation ou auxquels a été attribué, directement ou indirectement, le rôle de gestion de gestion des rôles. Lorsque ce commutateur est utilisé, la propriété ManagedBy est ignorée et l’utilisateur peut modifier le groupe de rôles ou son appartenance au groupe de rôles.

Si la propriété ManagedBy n’est pas définie sur un groupe de rôles, seuls les utilisateurs membres du rôle Gestion de l’organisation ou auxquels a été attribué, directement ou indirectement, le rôle de gestion de gestion des rôles peuvent modifier un groupe de rôle ou leur appartenance à un groupe de rôles.

RemarqueRemarque :
Les rôles attribués à un groupe de rôles peuvent être attribués à l’aide des attributions de rôles de délégation. Grâce aux attributions de rôles de délégation, les membres d’un groupe de rôles auquel a été attribué un rôle délégué peuvent attribuer ce rôle à un autre groupe de rôles, stratégie d’attribution, utilisateur ou groupe universel de sécurité. Les membres du groupe de rôles peuvent uniquement attribuer ce rôle et ne peuvent pas déléguer le groupe de rôles, à moins d’être également ajoutés à la propriété ManagedBy. Pour plus d’informations sur les attributions des rôles délégués, consultez la rubrique Présentation des attributions de rôles de gestion.

Pour plus d’informations sur la gestion de la délégation des groupes de rôles, consultez la rubrique Ajouter ou supprimer un délégué de groupe de rôles.

Retour au début

Appartenance au groupe de rôles

Lorsqu’un utilisateur devient membre d’un groupe de rôle, les rôles de gestion attribués au groupe de rôle sont attribués à l’utilisateur. Si un utilisateur est membre de plusieurs groupes de rôles, les rôles de gestion de chaque groupe de rôle sont regroupés et attribués à l’utilisateur. Les utilisateurs, les groupes universels de sécurité et les autres groupes de rôles peuvent être membres de groupes de rôles.

Seuls les utilisateurs membres des groupes de rôles Gestion de l’organisation ou de gestion des rôles et les utilisateurs auxquels la capacité d’ajouter des utilisateurs à des groupes de rôles et d’en supprimer a été déléguée peuvent gérer l’appartenance aux groupes de rôles.

Pour plus d’informations sur la gestion de l’appartenance à des groupes de rôles, consultez les rubriques suivantes :

Flux de travail de création de groupe de rôles

Comme mentionné précédemment, un groupe de rôles est constitué de plusieurs couches. Pour vous aider à comprendre ce qui se passe lorsqu’un groupe de rôles est créé, réfléchissez à l’exemple suivant, qui crée un nouveau groupe de rôles.

New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jens", "Maria", "Chris", "Maira", "Carter", "Jesse", "Lukas", "Isabel", "Rick", "Katie"

Lorsque la commande précédente est exécutée, voici ce qui se produit :

  1. Un nouvel objet groupe de rôles, qui est un groupe universel de sécurité spécial, appelé Gestion des destinataires de Seattle est créé.

  2. Les boîtes aux lettres de Ray, Jens, Maria, Chris, Maira, Carter, Jesse, Lukas, Isabel, Rick et Katie sont ajoutées comme membres du groupe de rôles. Ces utilisateurs reçoivent les autorisations fournies par ce groupe de rôles.

  3. Les utilisateurs Brian et David sont ajoutés à la propriété ManagedBy du groupe de rôles. Ceux-ci peuvent ajouter des membres au groupe de rôles et en supprimer ; toutefois, aucune autorisation fournie par le groupe de rôles ne leur est attribuée car ils n’en sont pas membres. Katie est également ajoutée à la propriété ManagedBy du groupe de rôles. Parce qu’elle est ajoutée à la propriété ManagedBy et qu’elle est membre du groupe de rôles, elle peut ajouter des membres au groupe de rôles ou en supprimer. Elle peut également recevoir les autorisations fournies par le groupe de rôles.

  4. Les attributions de rôle de gestion suivantes sont créées. Les attributions de rôle attribuent au groupe de rôles chaque rôle de gestion spécifié dans la commande. L’étendue de gestion Utilisateurs de Seattle est ajoutée à chaque attribution de rôle. Le nom de chaque attribution de rôle est l’association entre le rôle de gestion attribué et le nom du groupe de rôles.

    1. Mail Recipients_Seattle Recipient Management

    2. Distribution Groups_Seattle Recipient Management

    3. Move Mailboxes_Seattle Recipient Management

    4. UM Mailboxes_Seattle Recipient Management

Si vous comparez les résultats de cette commande à la figure des couches de groupes de rôles de gestion précédemment dans cette rubrique, vous pourrez voir l’endroit où chaque étape est liée aux couches du groupe de rôles. Vous pouvez ensuite vous reporter aux rubriques consacrées à la gestion des groupes de rôles de gestion contenues dans « Gestion des groupes de rôles » précédemment dans cette rubrique pour gérer chaque couche de groupe de rôles.

Retour au début

 © 2010 Microsoft Corporation. Tous droits réservés.