Partager via


Créer un groupe de rôles liés

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2012-07-23

Un groupe de rôles de gestion liés peut être utilisé pour permettre aux membres d’un groupe de sécurité universel (USG) d’une forêt Active Directory étrangère de gérer une organisation Microsoft Exchange Server 2010 au sein d’une forêt Active Directory de ressources. En associant un USG dans une forêt étrangère à un groupe de rôles liés, les membres de cet USG reçoivent les autorisations octroyées par les rôles de gestion attribués au groupe de rôles liés. Pour plus d’informations sur les groupes de rôles liés, voir Présentation des groupes de rôles de gestion.

ImportantImportant :
Pour ajouter ou supprimer des utilisateurs dans un groupe de rôles liés, vous devez ajouter ou supprimer des membres dans l’USG de la forêt étrangère Active Directory. Vous ne pouvez pas utiliser les cmdlets Add-RoleGroupMember, Remove-RoleGroupMember ou Update-RoleGroupMember pour modifier l’appartenance d’un groupe de rôles liés.

Souhaitez-vous rechercher les autres tâches de gestion relatives aux administrateurs et aux utilisateurs spécialistes ? Consultez la rubrique Gestion des administrateurs et des utilisateurs spécialistes.

Conditions préalables

  • La configuration d’un groupe de rôles liés requiert, au minimum, l’établissement d’une approbation unidirectionnelle entre la forêt de ressources Active Directory où réside le groupe de rôles liés et la forêt étrangère Active Directory où se trouvent les utilisateurs ou les USG. La forêt de ressources doit faire confiance à la forêt étrangère.

  • Vous devez posséder les informations suivantes sur la forêt étrangère Active Directory :

    • Informations d’identification   Vous devez posséder un nom d’utilisateur et un mot de passe pour accéder à la forêt étrangère Active Directory. Ces informations sont utilisées avec le paramètre LinkedCredential sur la cmdletNew-RoleGroup.

    • Contrôleur de domaine   Vous devez bénéficier d’un nom de domaine complet (FQDN) d’un Active Directorycontrôleur de domaine dans la forêt étrangèreActive Directory. Ces informations sont utilisées avec le paramètre LinkedDomainController sur la cmdletNew-RoleGroup.

    • Groupe de sécurité universelle étranger   Vous devez posséder le nom entier d’un groupe de sécurité universelle dans la forêt Active Directory étrangère qui contient les membres que vous souhaitez associer avec le groupe de rôles liés. Ces informations sont utilisées avec le paramètre LinkedForeignGroup sur la cmdletNew-RoleGroup.

Utilisation du Shell pour créer un groupe de rôles liés non délimité

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Groupes de rôles » dans la rubrique Autorisations pour la gestion des rôles.

RemarqueRemarque :
Vous ne pouvez pas utiliser l’EMC pour créer un groupe de rôles liés non délimité.

Pour créer un groupe de rôles liés et lui attribuer des rôles de gestion, procédez comme suit :

  1. Stockez les informations d’identification de la forêt Active Directory étrangère dans une variable.

    $ForeignCredential = Get-Credential
    
  2. Créez le groupe de rôles liés à l’aide de la syntaxe suivante.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Ajoutez ou supprimez les membres depuis ou vers le groupe de sécurité universelle étranger en utilisant les ordinateurs et les utilisateurs Active Directory sur un ordinateur dans la forêt Active Directory étrangère.

Cet exemple effectue les opérations suivantes :

  • Récupération des informations d’identification pour la forêt Active Directory étrangère users.contoso.com. Ces informations d’identification sont utilisées pour vous connecter au contrôleur de domaine DC01.users.contoso.com dans la forêt étrangère.

  • Crée un groupe de rôles liés nommé Groupe de rôles de conformité dans la forêt de ressources où est installé Exchange 2010.

  • Relie le nouveau groupe de rôles à l’USG Administrateurs de conformité dans la forêt users.contoso.com Active Directory.

  • Attribue les rôles Règles de transport et Gestion de la journalisation au nouveau groupe de rôles liés.

$ForeignCredential = Get-Credential
New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-RoleGroup.

Utilisation du Shell pour créer un groupe de rôles liés avec une portée de gestion personnalisée

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Groupes de rôles » dans la rubrique Autorisations pour la gestion des rôles.

RemarqueRemarque :
Vous ne pouvez pas utiliser l’EMC pour créer un groupe de rôles liés avec une portée de gestion personnalisée.

Vous pouvez créer des groupes de rôles liés avec des portées de gestion de destinataires personnalisées, des portées de gestion de configuration personnalisées ou avec les deux. Pour créer un groupe de rôles liés et lui attribuer des rôles de gestion avec des portées personnalisées, procédez comme suit :

  1. Stockez les informations d’identification de la forêt Active Directory étrangère dans une variable.

    $ForeignCredential = Get-Credential
    
  2. Créez le groupe de rôles liés à l’aide de la syntaxe suivante.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Ajoutez ou supprimez les membres depuis ou vers le groupe de sécurité universelle étranger en utilisant les ordinateurs et les utilisateurs Active Directory sur un ordinateur dans la forêt Active Directory étrangère.

Cet exemple effectue les opérations suivantes :

  • Récupération des informations d’identification pour la forêt Active Directory étrangère users.contoso.com. Ces informations d’identification sont utilisées pour vous connecter au contrôleur de domaine DC01.users.contoso.com dans la forêt étrangère.

  • Crée un groupe de rôles liés nommé Groupe de rôles de conformité Seattle dans la forêt de ressources où est installé Exchange 2010.

  • Relie le nouveau groupe de rôles à l’USG Administrateurs de conformité Seattle dans la forêt users.contoso.com Active Directory.

  • Attribue les rôles Règles de transport et Gestion de journalisation au nouveau groupe de rôles liés avec la portée de destinataires personnalisée Destinataires Seattle.

$ForeignCredential = Get-Credential
New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"

Pour plus d’informations sur les étendues de gestion, voir Présentation des portées du rôle de gestion.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-RoleGroup.

Utilisation du Shell pour créer un groupe de rôles liés avec une portée OU

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Groupes de rôles » dans la rubrique Autorisations pour la gestion des rôles.

RemarqueRemarque :
Vous ne pouvez pas utiliser l’EMC pour créer un groupe de rôles liés avec une portée OU (unité d’organisation).

Vous pouvez créer des groupes de rôles liés qui utilisent une portée de destinataires OU. Pour créer un groupe de rôles liés et lui attribuer des rôles de gestion avec une portée OU, procédez comme suit :

  1. Stockez les informations d’identification de la forêt Active Directory étrangère dans une variable.

    $ForeignCredential = Get-Credential
    
  2. Créez le groupe de rôles liés à l’aide de la syntaxe suivante.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>
    
  3. Ajoutez ou supprimez les membres depuis ou vers le groupe de sécurité universelle étranger en utilisant les ordinateurs et les utilisateurs Active Directory sur un ordinateur dans la forêt Active Directory étrangère.

Cet exemple effectue les opérations suivantes :

  • Récupération des informations d’identification pour la forêt Active Directory étrangère users.contoso.com. Ces informations d’identification sont utilisées pour vous connecter au contrôleur de domaine DC01.users.contoso.com dans la forêt étrangère.

  • Crée un groupe de rôles liés nommé Groupe de rôles de conformité Cadres dans la forêt de ressources où est installé Exchange 2010.

  • Relie le nouveau groupe de rôles à l’USG Administrateurs de conformité Cadres dans la forêt users.contoso.com Active Directory.

  • Attribue les rôles Règles de transport et Gestion de journalisation au nouveau groupe de rôles liés avec la portée de destinataires OU Cadres OU.

$ForeignCredential = Get-Credential
New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"

Pour plus d’informations sur les étendues de gestion, voir Présentation des portées du rôle de gestion.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-RoleGroup.

Autres tâches

Après avoir créé un groupe de rôles liés, vous pouvez également :

 © 2010 Microsoft Corporation. Tous droits réservés.