Créer une étendue normale ou exclusive
S'applique à : Exchange Server 2010
Dernière rubrique modifiée : 2009-10-19
Les étendues des rôles de gestion déterminent quels objets sont mis à la disposition de l’utilisateur pour que ceux-ci puissent être modifiés à l’aide des cmdlets et des paramètres qui lui sont attribués. En ajoutant une étendue de gestion, vous pouvez configurer les attributions des rôles de gestion afin que les utilisateurs puissent administrer des serveurs, destinataires et autres objets spécifiques dans votre organisation, sans pouvoir modifier certains autres objets.
.gif "Dd351083.important(fr-fr,EXCHG.140).gif") Important : |
|---|
| Lorsque vous créez une étendue normale ou exclusive, vous replacez l'étendue d'écriture définie sur le rôle de gestion que vous attribuez. Vous ne pouvez pas remplacer l'étendue de lecture configurée sur le rôle de gestion. |
Cette procédure montre comment créer une étendue de gestion personnalisée. Pour créer une attribution de rôle de gestion avec une étendue de gestion pré-générée ou d'unité d'organisation, voir Ajouter un rôle à un utilisateur ou un groupe de sécurité universel.
.gif "Dd351083.note(fr-fr,EXCHG.140).gif") Remarque : |
|---|
| Vous ne pouvez pas utiliser la console de gestion Exchange pour créer une étendue personnalisée, ni pour ajouter ou modifier une attribution de rôle de gestion. |
Pour plus d’informations sur les étendues de rôles de gestion et les attributions dans Microsoft Exchange Server 2010, voir les rubriques suivantes :
Souhaitez-vous rechercher les autres tâches de gestion relatives aux étendues ? Consultez la rubrique Gestion des autorisations avancées.
Étape 1 : Créer une étendue personnalisée
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir entrée « Rôles de gestion » dans la rubrique Autorisations pour la gestion des rôles.
Pour créer une étendue personnalisée, choisissez l'un des types d'étendues suivants :
- Créer une étendue basée sur le filtre destinataire
- Créer une étendue de configuration basée sur le filtre serveur
- Créer une étendue de configuration basée sur la liste de serveurs
- Créer une étendue exclusive
Créer une étendue basée sur le filtre destinataire
Les étendues basées sur le filtre destinataires sont créées à l'aide du paramètre RecipientRestrictionFilter de la cmdlet New-ManagementScope. Lorsque vous créez un filtre destinataire, outre les propriétés du destinataire à filtrer, vous pouvez également spécifier l'unité d'organisation dans laquelle la requête du filtre s'exécute. Lorsque vous indiquez une unité d'organisation de base, vous limitez encore davantage la portée d'écriture du rôle.
Pour plus d’informations sur les filtres d’étendue de gestion, voir Présentation des filtres d'attribution du rôle de gestion.
Utilisez la syntaxe suivante pour créer une étendue de filtre de restriction de domaine avec une unité d'organisation de base.
New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]
Cet exemple crée une étendue qui inclut toutes les boîtes aux lettres de l'unité d'organisation contoso.com/Sales.
New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter { RecipientType -eq 'UserMailbox' } -RecipientRoot "contoso.com/Sales OU"
| Remarque : |
|---|
| Vous pouvez omettre le paramètre RecipientRoot si vous souhaitez que le filtre s'applique à toute l'étendue de lecture implicite du rôle de gestion et non simplement à une unité d'organisation spécifique. |
Créer une étendue de configuration basée sur le filtre serveur
Les étendues de configuration basées sur le filtre serveur sont créées à l'aide du paramètre ServerRestrictionFilter de la cmdlet New-ManagementScope. Un filtre serveur vous permet de créer une étendue qui s'applique uniquement aux serveurs correspondant au filtre que vous spécifiez.
Pour plus d’informations sur les filtres d’étendue de gestion, voir Présentation des filtres d'attribution du rôle de gestion.
Utilisez la syntaxe suivante pour créer un filtre de restriction appliqué au serveur.
New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>
Cet exemple crée une étendue qui inclut tous les serveurs du site Seattle AD (Active Directory).
New-ManagementRole -Name "Servers in Seattle AD site" -ServerRestrictionFilter { ServerSite -eq 'Seattle' }
Créer une étendue de configuration basée sur la liste de serveurs
Les étendues de configuration basées sur la liste de serveurs sont créées à l'aide du paramètre ServerList de la cmdlet New-ManagementScope. Une étendue de liste de serveurs vous permet de créer une étendue qui s'applique uniquement aux serveurs que vous spécifiez dans une liste.
Utilisez la syntaxe suivante pour créer une étendue basée sur une liste de serveurs.
New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>
Cet exemple crée une étendue qui s'applique uniquement aux serveurs MBX1, MBX3 et MBX5.
New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5
Créer une étendue exclusive
Toute étendue créée à l'aide de la cmdlet New-ManagementScope peut être définie comme étendue exclusive. Pour créer une étendue exclusive, vous utilisez les commandes décrites dans les sections Créer une étendue basée sur le filtre destinataire, Créer une étendue de configuration basée sur le filtre serveur ou Créer une étendue de configuration basée sur la liste de serveurs pour créer respectivement une étendue basée sur le filtre destinataire, une étendue basée sur le filtre serveur ou une étendue basée sur une liste de serveurs, puis vous ajoutez le commutateur Exclusive à la commande.
.gif "Dd351083.Caution(fr-fr,EXCHG.140).gif") Attention : |
|---|
| Lorsque vous créez des étendues de gestion exclusives, seuls les utilisateurs auxquels ont été affectées des étendues exclusives contenant des objets à modifier peuvent accéder à ces objets. Seuls les administrateurs affectés d'un rôle ayant l'étendue exclusive peuvent accéder à ces objets exclusifs ou protégés. |
Cet exemple crée une étendue exclusive basée sur un filtre destinataire qui correspond à tout utilisateur du département Executives.
New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive
Lorsque vous créez une étendue exclusive, vous devez par défaut, reconnaître que vous avez créé une étendue exclusive et que vous êtes conscient de l'impact que peut avoir cette étendue exclusive sur des attributions de rôle non exclusives existantes. Si vous souhaitez supprimer l'avertissement, vous pouvez utiliser le commutateur Force. Cet exemple crée la même étendue que dans l'exemple précédent, mais sans avertissement.
New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive -Force
Étape 2 : Ajouter ou modifier une attribution de rôle de gestion
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Attributions de rôles » dans la rubrique Autorisations pour la gestion des rôles.
Après avoir créé l'étendue, vous devez l'ajouter à une attribution de rôle de gestion nouvelle ou existante.
Si vous créez une étendue de gestion que vous souhaitez ajouter à une nouvelle attribution de rôle de gestion que vous allez créer, consultez les rubriques suivantes :
- Ajouter un rôle à un groupe de rôles
- Ajouter un rôle à un utilisateur ou un groupe de sécurité universel
Si vous créez une étendue de rôle de gestion que vous souhaitez ajouter à une attribution de rôle de gestion existante, consultez les rubriques suivantes :