Créer des groupes de rôles liés qui reflètent les groupes de rôles intégrés

S’applique à : Exchange Server 2013

Par le biais des groupes de rôles de gestion liés dans Microsoft Exchange Server 2013, vous pouvez lier un groupe de rôles d'une forêt de ressources Exchange 2013 à un groupe de sécurité universel d'une forêt utilisateur étrangère. Ceci est utile lorsque vous voulez que les administrateurs disposant d'un compte dans la forêt utilisateur gèrent les serveurs exécutant Exchange dans la forêt de ressources. Pour plus d'informations sur les groupes de rôles liés, voir Présentation des groupes de rôles de gestion.

Par défaut, Exchange 2013 inclut un certain nombre de groupes de rôles intégrés qui vous autorisent à gérer différentes fonctionnalités et fonctions de travail. Chaque groupe de rôles est conçu pour accorder les autorisations propres à chaque fonctionnalité et fonction de travail. Toutefois, ces groupes de rôles ne peuvent pas être liés aux groupes de sécurité universels dans une forêt étrangère. Ils peuvent contenir uniquement des utilisateurs et groupes de sécurité universels à partir de la forêt de ressources locales. Heureusement, il est possible de répliquer ces groupes de rôles intégrés à l'aide des groupes de rôles liés.

Vous pouvez recréer chaque groupe de rôles intégré en tant que groupe de rôles lié. Tous les rôles et toutes les étendues de gestion attribués à chaque groupe de rôles sont ajoutés au nouveau groupe de rôles lié. Pour plus d'informations sur les rôles et les étendues de gestion, voir les rubriques suivantes :

Souhaitez-vous rechercher les autres tâches de gestion relatives aux groupes des rôles ? Consultez la rubrique Autorisations.

Ce qu'il faut savoir avant de commencer

  • Durée d'exécution estimée de chaque procédure : 10 minutes

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l'entrée « Groupes de rôles » dans la rubrique Autorisations pour la gestion des rôles.

  • Vous devez utiliser l'environnement de ligne de commande Exchange Management Shell pour effectuer ces procédures.

  • La configuration d'un groupe de rôles lié nécessite une approbation unilatérale entre la forêt Active Directory de ressources dans laquelle résidera le groupe de rôles lié et la forêt Active Directory étrangère où résideront les utilisateurs ou les groupes de sécurité universels. La forêt de ressources doit faire confiance à la forêt étrangère.

  • Vous devez posséder les informations suivantes sur la forêt étrangère Active Directory :

    • Informations d’identification : vous devez disposer d’un nom d’utilisateur et d’un mot de passe qui peuvent accéder à la forêt Active Directory étrangère. Ces informations sont utilisées avec le paramètre LinkedCredential sur l’applet de commande New-RoleGroup . Ces informations sont obtenues en exécutant la cmdlet Get-Credential. Le format du nom d’utilisateur estnom d’utilisateur dedomaine\.

    • Contrôleur de domaine : vous devez disposer du nom de domaine complet (FQDN) d’un contrôleur de domaine Active Directory dans la forêt Active Directory étrangère. Ces informations sont utilisées avec le paramètre LinkedDomainController sur l’applet de commande New-RoleGroup .

    • UsG étranger : vous devez avoir le nom complet d’un groupe de sécurité des états-unis dans la forêt Active Directory étrangère qui contient les membres que vous souhaitez associer au groupe de rôles lié. Ces informations sont utilisées avec le paramètre LinkedForeignGroup sur l’applet de commande New-RoleGroup .

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

Conseil

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums de Exchange Server.

Utiliser l’environnement Shell pour créer les groupes de rôles liés qui répliquent les groupes de rôles intégrés

Chacune des sections suivantes vous montre comment recréer chaque groupe de rôles en tant que groupe de rôles lié. Complétez les procédures de chaque section pour recréer tous les groupes de rôles intégrés en tant que groupes de rôles liés.

Créer le groupe de rôles lié Gestion de l’organisation

Pour recréer le groupe de rôles Gestion de l'organisation en tant que groupe de rôles lié, utilisez une procédure différente de celle utilisée pour recréer d'autres groupes de rôles intégrés. Ceci en raison du fait que le groupe de rôles Gestion de l'organisation a des attributions de rôles de délégation entre lui et tous les rôles de gestion. Une étape supplémentaire est nécessaire pour recréer les attributions de rôles de délégation.

  1. Créez un groupe de sécurité universel dans la forêt étrangère qui sera lié au groupe de rôles Gestion de l'organisation.

  2. Stockez les informations d'identification de la forêt Active Directory étrangère dans une variable.

    $ForeignCredential = Get-Credential
    
  3. Enregistrez tous les rôles attribués au groupe de rôles Gestion de l'organisation dans une variable.

    $OrgMgmt  = Get-RoleGroup "Organization Management"
    
  4. Créez le groupe de rôles lié Gestion de l'organisation et ajoutez les rôles attribués au groupe de rôles intégré Gestion de l'organisation.

    New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
    
  5. Supprimez toutes les attributions régulières entre le nouveau groupe de rôles lié Gestion de l’organisation et les rôles d’utilisateur final My*.

    Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
    
  6. Ajoutez les attributions de rôles de délégation entre le nouveau groupe de rôles lié Gestion de l'organisation et tous les rôles de gestion.

    Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
    

Cet exemple part du principe que les valeurs suivantes sont utilisées pour chaque paramètre :

  • LinkedForeignGroup : Organization Management Administrators

  • LinkedDomainController : DC01.users.contoso.com

À l'aide des valeurs précédentes, cet exemple montre comment recréer le groupe de rôles Gestion de l'organisation en tant que groupe de rôles lié.

$ForeignCredential = Get-Credential
$OrgMgmt  = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

Créer tous les autres groupes de rôles liés

Pour recréer les groupes de rôles intégrés (autres que le groupe de rôles Gestion de l'organisation) en tant que groupes de rôles liés, utilisez la procédure suivante pour chaque groupe.

  1. Créez un groupe de sécurité universel dans la forêt étrangère pour chaque groupe de rôles qui sera lié à chaque nouveau groupe de rôles.

  2. Stockez les informations d'identification de la forêt Active Directory étrangère dans une variable. Vous ne devez effectuer cette opération qu'une seule fois.

    $ForeignCredential = Get-Credential
    
  3. Récupérez une liste de groupes de rôles à l'aide de la cmdlet suivante.

    Get-RoleGroup
    
  4. Pour chaque groupe de rôles, autre que le groupe de rôles Gestion de l'organisation, procédez de la façon suivante.

    $RoleGroup = Get-RoleGroup <name of role group to re-create>
    New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
    
  5. Répétez l'étape précédente pour chaque groupe de rôles intégré à recréer en tant que groupe de rôles lié.

Cet exemple part du principe que les valeurs suivantes sont utilisées pour chaque paramètre :

  • LinkedDomainController : DC01.users.contoso.com

  • Groupes de rôles intégrés à recréer en tant que groupes de rôles liés : Recipient Management, Server Management

  • Groupe étranger pour le groupe de rôles lié Gestion des destinataires : Recipient Management Administrators

  • Groupe étranger pour le groupe de rôles lié Gestion de serveur : Server Management Administrators

À l'aide des valeurs précédentes, cet exemple montre comment recréer les groupes de rôles Gestion des serveurs et Gestion des destinataires en tant que groupes de rôles liés.

$ForeignCredential = Get-Credential
Get-RoleGroup
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "Server Management"
New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

Autres tâches

Après avoir créé des groupes de rôles liés, vous souhaiterez probablement :

ajouter des membres aux groupes de sécurité universels étrangers à l'aide des utilisateurs et ordinateurs Active Directory dans la forêt étrangère.

supprimer des membres des groupes de rôles intégrés. Pour plus d'informations, consultez la rubrique Gérer les membres de groupes de rôles.

Ajouter, supprimer ou modifier l'étendue des rôles sur les groupes de rôles liés. Pour plus d'informations, consultez la rubrique Gérer des groupes de rôles.

Créez des groupes de rôles liés supplémentaires. Pour plus d'informations, consultez la rubrique Gérer des groupes de rôles liés.