Créer des groupes de rôles liés qui reflètent les groupes de rôles intégrés
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2012-07-23
Par le biais des groupes de rôles de gestion liés dans Microsoft Exchange Server 2010, vous pouvez lier un groupe de rôles d’une forêt de ressources Exchange 2010 à un groupe de sécurité universel d’une forêt utilisateur étrangère. Ceci est utile lorsque vous voulez que les administrateurs disposant d’un compte dans la forêt utilisateur gèrent les serveurs exécutant Exchange dans la forêt de ressources. Pour plus d’informations sur les groupes de rôles liés, voir Présentation des groupes de rôles de gestion.
Par défaut, Exchange 2010 inclut un certain nombre de groupes de rôles intégrés qui vous autorisent à gérer différentes fonctionnalités et fonctions de travail. Chaque groupe de rôles est conçu pour accorder les autorisations propres à chaque fonctionnalité et fonction de travail. Toutefois, ces groupes de rôles ne peuvent pas être liés aux groupes de sécurité universels dans une forêt étrangère. Ils peuvent contenir uniquement des utilisateurs et groupes de sécurité universels à partir de la forêt de ressources locales. Heureusement, il est possible de répliquer ces groupes de rôles intégrés à l’aide des groupes de rôles liés.
Vous pouvez recréer chaque groupe de rôles intégré en tant que groupe de rôles lié. Tous les rôles et toutes les étendues de gestion attribués à chaque groupe de rôles sont ajoutés au nouveau groupe de rôles lié. Pour plus d’informations sur les rôles et les étendues de gestion, voir les rubriques suivantes :
Souhaitez-vous rechercher les autres tâches de gestion relatives aux groupes des rôles ? Consultez la rubrique Gestion des administrateurs et des utilisateurs spécialistes.
Conditions préalables
La configuration d’un groupe de rôles lié nécessite une approbation unilatérale entre la forêt Active Directory de ressources dans laquelle résidera le groupe de rôles lié et la forêt Active Directory étrangère où résideront les utilisateurs ou les groupes de sécurité universels. La forêt de ressources doit faire confiance à la forêt étrangère.
Vous devez posséder les informations suivantes sur la forêt étrangère Active Directory :
Informations d’identification Vous devez posséder un nom d’utilisateur et un mot de passe pour accéder à la forêt étrangère Active Directory. Ces informations sont utilisées avec le paramètre LinkedCredential sur la cmdletNew-RoleGroup. Ces informations sont obtenues en exécutant la cmdlet Get-Credential. Le format du nom d’utilisateur est le suivant : domaine\nomutilisateur.
Contrôleur de domaine Vous devez bénéficier d’un nom de domaine complet (FQDN) d’un Active Directorycontrôleur de domaine dans la forêt étrangèreActive Directory. Ces informations sont utilisées avec le paramètre LinkedDomainController sur la cmdletNew-RoleGroup.
Groupe de sécurité universelle étranger Vous devez posséder le nom entier d’un groupe de sécurité universelle dans la forêt Active Directory étrangère qui contient les membres que vous souhaitez associer avec le groupe de rôles liés. Ces informations sont utilisées avec le paramètre LinkedForeignGroup sur la cmdletNew-RoleGroup.
Utiliser l’environnement Shell pour créer les groupes de rôles liés qui répliquent les groupes de rôles intégrés
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Groupes de rôles » dans la rubrique Autorisations pour la gestion des rôles.
Remarque : |
---|
Vous ne pouvez pas utiliser la console de gestion Exchange (EMC) pour créer les groupes de rôles liés qui répliquent les groupes de rôles intégrés. |
Chacune des sections suivantes vous montre comment recréer chaque groupe de rôles en tant que groupe de rôles lié. Complétez les procédures de chaque section pour recréer tous les groupes de rôles intégrés en tant que groupes de rôles liés.
Créer le groupe de rôles lié Gestion de l’organisation
Pour recréer le groupe de rôles Gestion de l’organisation en tant que groupe de rôles lié, utilisez une procédure différente de celle utilisée pour recréer d’autres groupes de rôles intégrés. Ceci en raison du fait que le groupe de rôles Gestion de l’organisation a des attributions de rôles de délégation entre lui et tous les rôles de gestion. Une étape supplémentaire est nécessaire pour recréer les attributions de rôles de délégation.
Créez un groupe de sécurité universel dans la forêt étrangère qui sera lié au groupe de rôles Gestion de l’organisation.
Stockez les informations d’identification de la forêt Active Directory étrangère dans une variable.
$ForeignCredential = Get-Credential
Enregistrez tous les rôles attribués au groupe de rôles Gestion de l’organisation dans une variable.
$OrgMgmt = Get-RoleGroup "Organization Management"
Créez le groupe de rôles lié Gestion de l’organisation et ajoutez les rôles attribués au groupe de rôles intégré Gestion de l’organisation.
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign ExADNoMk domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Supprimez toutes les attributions normales entre le nouveau groupe de rôles lié Gestion de l’organisation et les rôles d’utilisateur final My*.
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Ajoutez les attributions de rôles de délégation entre le nouveau groupe de rôles lié Gestion de l’organisation et tous les rôles de gestion.
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
Cet exemple part du principe que les valeurs suivantes sont utilisées pour chaque paramètre :
LinkedForeignGroup
Organization Management Administrators
LinkedDomainController
DC01.users.contoso.com
À l’aide des valeurs précédentes, cet exemple montre comment recréer le groupe de rôles Gestion de l’organisation en tant que groupe de rôles lié.
$ForeignCredential = Get-Credential
$OrgMgmt = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
Créer tous les autres groupes de rôles liés
Pour recréer les groupes de rôles intégrés (autres que le groupe de rôles Gestion de l’organisation) en tant que groupes de rôles liés, utilisez la procédure suivante pour chaque groupe.
Créez un groupe de sécurité universel dans la forêt étrangère pour chaque groupe de rôles qui sera lié à chaque nouveau groupe de rôles.
Stockez les informations d’identification de la forêt Active Directory étrangère dans une variable. Vous ne devez effectuer cette opération qu’une seule fois.
$ForeignCredential = Get-Credential
Récupérez une liste de groupes de rôles à l’aide de la cmdlet suivante.
Get-RoleGroup
Pour chaque groupe de rôles, autre que le groupe de rôles Gestion de l’organisation, procédez de la façon suivante.
$RoleGroup = Get-RoleGroup <name of role group to re-create> New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
Répétez l’étape précédente pour chaque groupe de rôles intégré à recréer en tant que groupe de rôles lié.
Cet exemple part du principe que les valeurs suivantes sont utilisées pour chaque paramètre :
LinkedDomainController
DC01.users.contoso.com
Groupes de rôles intégrés à recréer en tant que groupes de rôles liés
Recipient Management, Server Management
Groupe étranger pour le groupe de rôles lié Gestion des destinataires
Recipient Management Administrators
Groupe étranger pour le groupe de rôles lié Gestion des serveurs
Server Management Administrators
À l’aide des valeurs précédentes, cet exemple montre comment recréer les groupes de rôles Gestion des serveurs et Gestion des destinataires en tant que groupes de rôles liés.
$ForeignCredential = Get-Credential
Get-RoleGroup
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "Server Management"
New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
Autres tâches
Après avoir créé des groupes de rôles liés, vous souhaiterez probablement :
ajouter des membres aux groupes de sécurité universels étrangers à l’aide des utilisateurs et ordinateurs Active Directory dans la forêt étrangère ;
supprimer des membres des groupes de rôles intégrés. Pour plus d’informations, voir Supprimer des membres d’un groupe de rôles.
ajouter des rôles aux nouveaux groupes de rôles liés. Pour plus d’informations, voir Ajouter un rôle à un groupe de rôles.
supprimer des rôles des nouveaux groupes de rôles liés. Pour plus d’informations, voir Supprimer un rôle à partir d’un groupe de rôles.
changer les étendues des attributions de rôles entre les nouveaux groupes de rôles liés et les nouveaux rôles de gestion. Pour plus d’informations, voir Changer l’étendue des attributions de rôle dans le groupe de rôles.
Créez des groupes de rôles liés supplémentaires. Pour plus d’informations, voir Créer un groupe de rôles liés.
© 2010 Microsoft Corporation. Tous droits réservés.