Afficher les autorisations effectives
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2012-07-23
Dans Microsoft Exchange Server 2010, les autorisations sont accordées à l'aide de rôles de gestion attribués à des groupes de rôles de gestion, des stratégies d'attribution de rôle de gestion, des groupes de sécurité universels ou directement aux utilisateurs. Les utilisateurs reçoivent les autorisations s'ils sont membres des groupes de rôles ou des groupes de sécurité universels ou si des stratégies d'attribution de rôle leur sont attribuées.
La plupart des autorisations sont accordées en fonction de l'appartenance à un groupe de rôles ou de l'attribution des stratégies d'affectation aux utilisateurs finaux. Bien que l'utilisation de groupes de rôles et de stratégies d'affectation facilite l'octroi des autorisations à un grand nombre d'utilisateurs, vous ne savez pas nécessairement quels utilisateurs sont membres d'un groupe de rôles, ni quels utilisateurs disposent d'une stratégie d'affectation. C'est pourquoi le commutateur GetEffectiveUsers de la cmdlet Get-ManagementRoleAssignment est utile. Il indique quels utilisateurs ont reçu les autorisations accordées par un rôle de gestion via les groupes de rôles, les stratégies d'affectation et les groupes de sécurité universels qui leur ont été attribués.
Le commutateur GetEffectiveUsers est utilisé avec la cmdlet Get-ManagementRoleAssignment lorsque le paramètre Role est utilisé. En spécifiant ce commutateur avec un rôle spécifique, la cmdlet Get-ManagementRoleAssignment examine tous les utilisateurs affectés au rôle, comme les groupes de rôles, les stratégies d'affectation et les groupes de sécurité universels, et répertorie les membres de chacun.
.gif "Remarque") Remarque : |
|---|
| Le commutateur GetEffectiveUser ne répertorie pas les utilisateurs membres d'un groupe de rôles étranger lié. Si un groupe de rôles lié est trouvé, Tous les membres du groupe lié s'affichent à la place de la liste des utilisateurs. Pour plus d'informations sur les autorisations couvrant plusieurs forêts, voir Présentation des autorisations sur plusieurs forêts. |
Pour plus d'informations sur les rôles de gestion, les groupes de rôles et stratégies d'affectation, voir Présentation du contrôle d'accès basé sur un rôle.
Pour plus d'informations sur les attributions des rôles de gestion, voir Présentation des attributions de rôles de gestion.
Souhaitez-vous rechercher les autres tâches de gestion relatives à la gestion des autorisations ? Consultez la rubrique Gestion des autorisations.
Utiliser l'environnement de ligne de commande Exchange Management Shell pour répertorier tous les utilisateurs
| Remarque : |
|---|
| Vous ne pouvez pas utiliser la console de gestion Exchange pour répertorier tous les utilisateurs effectifs. |
Pour dresser la liste de tous les utilisateurs qui bénéficient des autorisations fournies par un rôle de gestion, utilisez la syntaxe suivante.
Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers
Cet exemple répertorie tous les utilisateurs qui bénéficient des autorisations fournies par le rôle Mail Recipients.
Get-ManagementRoleAssignment -Role "Mail Recipients" -GetEffectiveUsers
Pour modifier les propriétés retournées dans la liste ou pour exporter la liste dans un fichier de valeurs séparées par une virgule (CSV), voir Customize output and display it plus loin dans cette rubrique.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment.
Utiliser l'environnement de ligne de commande Exchange Management Shell pour rechercher un utilisateur spécifique sur un rôle
| Remarque : |
|---|
| Vous ne pouvez pas utiliser la console de gestion Exchange pour rechercher un utilisateur spécifique sur un rôle. |
Pour trouver un utilisateur spécifique ayant reçu les autorisations fournies par un rôle de gestion, vous devez utiliser la cmdlet Get-ManagementRoleAssignment pour extraire la liste de tous les utilisateurs effectifs, puis transférer la sortie à la cmdlet Where. La cmdlet Where filtre la sortie et retourne uniquement l'utilisateur spécifié. Utilisez la syntaxe suivante :
Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<name of user>" }
Cet exemple recherche l'utilisateur David Strome sur le rôle Journaling.
Get-ManagementRoleAssignment -Role Journaling -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" }
Si vous souhaitez modifier les propriétés qui sont renvoyées dans la liste ou l’exporter dans un fichier CSV, voir Customize output and display it ultérieurement dans cette rubrique.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment.
Utiliser l'environnement de ligne de commande Exchange Management Shell pour rechercher un utilisateur spécifique sur tous les rôles
| Remarque : |
|---|
| Vous ne pouvez pas utiliser la console de gestion Exchange pour rechercher un utilisateur spécifique sur tous les rôles. |
Pour connaître tous les rôles par lesquels un utilisateur reçoit des autorisations, vous devez utiliser la cmdlet Get-ManagementRoleAssignment pour extraire tous les utilisateurs effectifs sur tous les rôles de gestion, puis transférer la sortie à la cmdlet Where. La cmdlet Where filtre la sortie et retourne uniquement les attributions de rôle qui accordent les autorisations aux utilisateurs.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<name of user>" }
Cet exemple recherche toutes les attributions de rôle qui accordent des autorisations à l'utilisateur Kim Akers.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "Kim Akers" }
Si vous souhaitez modifier les propriétés qui sont renvoyées dans la liste ou l’exporter dans un fichier CSV, voir Customize output and display it ultérieurement dans cette rubrique.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment.
Utiliser l'environnement de ligne de commande Exchange Management Shell pour personnaliser la sortie et l'afficher
| Remarque : |
|---|
| Vous ne pouvez pas utiliser la console de gestion Exchange pour personnaliser la sortie et l'afficher. |
Il se peut que la sortie par défaut de la cmdlet Get-ManagementRoleAssignment ne contiennent pas les informations qui vous intéressent. La sortie de la cmdlet contient beaucoup plus de propriétés auxquelles vous pouvez accéder. Voici quelques-unes des propriétés qui pourraient être utiles :
EffectiveUserName Nom de l'utilisateur.
Role Rôle qui accorde les autorisations.
RoleAssigneeName Groupe de rôles, stratégie d'affectation ou groupe de sécurité universel attribué au rôle et contenant l'utilisateur de la propriété
EffectiveUserName.RoleAssigneeType Indique si l'attribution de rôle concerne un groupe de rôles, une stratégie d'affectation, un groupe de sécurité universel ou un utilisateur.
AssignmentMethod Indique si l'attribution entre le rôle et l'utilisateur concerné est directe ou indirecte.
CustomRecipientWriteScope Indique la portée d'écriture du destinataire personnalisée, le cas échéant, appliquée à l'attribution du rôle au moment de sa création. La portée spécifiée dans cette propriété remplace la portée d'écriture de destinataire implicite spécifiée dans la propriété
RecipientWriteScope.CustomConfigWriteScope Indique la portée d'écriture de configuration personnalisée, le cas échéant, appliquée à l'attribution du rôle au moment de sa création. La portée spécifiée dans cette propriété remplace la portée d'écriture de configuration implicite spécifiée dans la propriété
ConfigWriteScope.RecipientReadScope Indique la portée de lecture de destinataire implicite appliquée au rôle.
RecipientWriteScope indique la portée d'écriture de destinataire implicite appliquée au rôle.
ConfigReadScope Indique la portée de lecture de configuration implicite appliquée au rôle.
ConfigWriteScope Indique la portée d'écriture de configuration implicite appliquée au rôle.
Pour sélectionner les propriétés que vous voulez afficher dans votre liste, vous utilisez pratiquement les mêmes commandes que celles utilisées dans les rubriques Use the Shell to list all effective users, Use the Shell to find a specific user on a role et Use the Shell to find a specific user on all roles. La différence réside dans le fait que vous transmettez les résultats de ces commandes aux cmdlets Format-Table ou Select-Object. La cmdlet Format-Table est utile pour afficher la liste des résultats à l'écran. La cmdlet Select-Object permet d'afficher la liste des résultats dans un fichier CSV.
Ces deux cmdlets vous permettent de spécifier les propriétés qui vous intéressent ainsi que leur ordre d'affichage. La cmdlet Format-Table offre davantage d'options lorsque vous affichez les résultats à l'écran, alors que la cmdlet Select-Object ne modifie la sortie en aucun cas, ce qui est utile lorsque vous exportez la liste dans un fichier CSV.
Pour plus d'informations sur les cmdlets Format-Table etSelect-Object, voir Utilisation de la sortie d’une commande.
Afficher une liste personnalisée à l'écran
Tout d’abord, sélectionnez les informations que vous souhaitez voir et recherchez la commande associée à partir de l’une des procédures suivantes :
Use the Shell to list all effective users
Use the Shell to find a specific user a role
Use the Shell to find a specific user on all roles
Puis, sélectionnez les propriétés que vous souhaitez voir dans votre liste. Pour finir, utilisez la syntaxe suivante pour afficher la liste.
<command to retrieve list > | Format-Table <property 1>, <property 2>, <property ...>
Cet exemple recherche l’utilisateur Michel Cordani sur tous les rôles et affiche les propriétés EffectiveUserName, Role, CustomRecipientWriteScope et CustomConfigWriteScope.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" } | Format-Table EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment.
Afficher une liste personnalisée dans un fichier CSV
Pour exporter la liste au format CSV, vous devez transmettre les résultats de la commande Get-ManagementRoleAssignment issus de la procédure appropriée décrite précédemment à la cmdlet Select-Object. La sortie de la cmdlet Select-Object est ensuite transmise à la cmdlet Export-CSV qui enregistre le fichier CSV résultant sous le nom de fichier que vous indiquez.
Tout d’abord, sélectionnez les informations que vous souhaitez voir et recherchez la commande associée à partir de l’une des procédures suivantes :
Use the Shell to list all effective users
Use the Shell to find a specific user a role
Use the Shell to find a specific user on all roles
Puis, sélectionnez les propriétés que vous souhaitez voir dans votre liste. Pour finir, utilisez la syntaxe suivante pour exporter la liste dans un fichier CSV.
<command to retrieve list > | Select-Object <property 1>, <property 2>, <property ...> | Export-CSV <filename>
Cet exemple recherche l’utilisateur Michel Cordani sur tous les rôles et affiche les propriétés EffectiveUserName, Role, CustomRecipientWriteScope et CustomConfigWriteScope.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" } | Select-Object EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope | Export-CSV c:\output.csv
Vous pouvez maintenant visualiser le fichier CSV dans l'afficheur de votre choix.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment.
© 2010 Microsoft Corporation. Tous droits réservés.