Ajouter un rôle à un utilisateur ou un groupe de sécurité universel

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2012-07-23

L'attribution de rôles de gestion permet d'attribuer un rôle de gestion à un utilisateur ou à un groupe de sécurité universel. En attribuant un rôle à un utilisateur ou à un groupe de sécurité universel, vous autorisez ces utilisateurs à effectuer des tâches qui dépendent de cmdlets ou de scripts et permettez à leurs paramètres d'être définis sur le rôle de gestion.

Bien que vous puissiez attribuer des rôles directement aux utilisateurs et aux groupes de sécurité universels, la méthode recommandée pour accorder des autorisations aux administrateurs et aux utilisateurs finaux est d’utiliser les groupes de rôles de gestion et les stratégies d’attribution de rôle de gestion. Lorsque vous utilisez des groupes de rôles et des stratégies d’attribution, vous simplifiez votre modèle d’autorisations.

Pour attribuer des rôles à un groupe de rôles de gestion ou à une stratégie d'attribution de rôles de gestion, voir les rubriques suivantes :

• Ajouter un rôle à un groupe de rôles

• Ajouter un rôle à une stratégie d’attribution

Pour ajouter des membres à un groupe de rôles ou affecter une stratégie d'attribution de rôle à un utilisateur final, voir les rubriques suivantes :

• Ajouter des membres un groupe de rôles

• Modifier la stratégie d’attribution sur une boîte aux lettres

Pour plus d'informations, voir Présentation du contrôle d'accès basé sur un rôle.

Remarque :

Les attributions de rôle sont cumulables. Cela signifie que tous les rôles sont ajoutés lors de leur évaluation. Si deux rôles sont attribués à un utilisateur et si un rôle contient une cmdlet et l’autre non, la cmdlet de ce premier rôle sera disponible. Par défaut, les attributions de rôle n'offrent pas la possibilité d'attribuer des rôles aux autres utilisateurs. Pour permettre à un utilisateur d'attribuer des rôles à d'autres utilisateurs ou à des groupes de sécurité universels, voir Déléguer les attributions de rôles.

Vous devez utiliser l’environnement de ligne de commande Exchange Management Shell pour ajouter une attribution de rôle.

Si vous créez une attribution avec une étendue, celle-ci écrase l’étendue d’écriture implicite du rôle. Cependant, l’étendue de lecture implicite du rôle s’applique toujours. La nouvelle étendue ne peut pas renvoyer des objets en dehors de l’étendue de lecture implicite du rôle. Pour plus d'informations, voir Présentation des portées du rôle de gestion.

Toutes les procédures décrites dans cette rubrique utilisent le paramètre SecurityGroup pour affecter des rôles à un groupe de sécurité universel. Si vous souhaitez attribuer le rôle à un utilisateur spécifique, utilisez le paramètre User au lieu du paramètre SecurityGroup. Tous les autres éléments de la syntaxe sont identiques pour chaque commande.

Souhaitez-vous rechercher les autres tâches de gestion relatives aux rôles ? Consultez la rubrique Gestion des autorisations avancées.

Créer une attribution de rôle sans étendue

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Attribution des rôles » dans la rubrique Autorisations pour la gestion des rôles.

Remarque :
Vous ne pouvez pas utiliser la console de gestion Exchange pour créer une attribution de rôle sans aucune étendue.

Vous pouvez créer une attribution de rôle sans étendue. Lorsque vous effectuez cette opération, les étendues d’écriture implicite et de lecture implicite du rôle s’appliquent.

Utilisez la syntaxe suivante pour attribuer un rôle à un groupe de sécurité universel sans étendue :

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

Cet exemple attribue le rôle « Exchange Servers » (serveurs Exchange) au groupe de sécurité universel SeattleAdmins.

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-ManagementRoleAssignment.

Créer une attribution de rôle avec une étendue relative prédéfinie.

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Attribution des rôles » dans la rubrique Autorisations pour la gestion des rôles.

Remarque :
Vous ne pouvez pas utiliser la console de gestion Exchange pour créer une attribution de rôle avec une étendue relative prédéfinie.

Si une étendue relative prédéfinie correspond à vos besoins professionnels, vous pouvez appliquer cette étendue à l’attribution de rôle au lieu de créer une étendue personnalisée. Pour obtenir une liste des étendues prédéfinies et leur description, consultez la rubrique Présentation des portées du rôle de gestion.

Utilisez la syntaxe suivante pour attribuer un rôle à un groupe de sécurité universel avec une étendue prédéfinie :

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

Cet exemple attribue le rôle « Exchange Servers » au groupe de sécurité universel SeattleAdmins et applique l’étendue prédéfinie Organization.

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-ManagementRoleAssignment.

Créer une attribution de rôle avec une étendue basée sur le filtre destinataire

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Attribution des rôles » dans la rubrique Autorisations pour la gestion des rôles.

Remarque :
Vous ne pouvez pas utiliser la console de gestion Exchange pour créer une attribution de rôle avec une étendue de destinataire basée sur le filtre.

Si vous avez créé une étendue de destinataire basée sur le filtre et que vous voulez l’utiliser avec une attribution de rôle, vous devez inclure l’étendue dans la commande utilisée pour attribuer le rôle à un groupe de sécurité universel à l’aide du paramètre CustomRecipientWriteScope. Si vous utilisez le paramètre CustomRecipientWriteScope, vous ne pouvez pas utiliser le paramètre RecipientOrganizationalUnitScope.

Avant de pouvoir ajouter une étendue pour une attribution de rôle, vous devez en créer une. Pour plus d'informations, voir Créer une étendue normale ou exclusive.

Utilisez la syntaxe suivante pour attribuer un rôle à un groupe de sécurité universel avec une étendue de destinataire basée sur le filtre :

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

Cet exemple attribue le rôle Mail Recipients (Destinataires) au groupe de sécurité universel Seattle Recipient Admins (Administrateurs destinataires de Seattle) et applique l’étendue Seattle Recipients (Destinataires de Seattle).

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-ManagementRoleAssignment.

Créer une attribution de rôle avec un filtre de serveur ou de base de données ou une étendue de configuration basée sur une liste

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Attribution des rôles » dans la rubrique Autorisations pour la gestion des rôles.

Remarque :
Vous ne pouvez pas utiliser la console de gestion Exchange pour créer une attribution de rôle avec un filtre de serveur ou de base de données ou une étendue de configuration basée sur une liste.

Si vous avez créé un filtre de serveur ou de base de données ou une étendue de configuration basée sur une liste et que vous voulez l’utiliser avec une attribution de rôle, vous devez inclure l’étendue dans la commande utilisée pour attribuer le rôle à un groupe de sécurité universel à l’aide du paramètre CustomConfigWriteScope.

Avant de pouvoir ajouter une étendue pour une attribution de rôle, vous devez en créer une. Pour plus d'informations, voir Créer une étendue normale ou exclusive.

Utilisez la syntaxe suivante pour attribuer un rôle à un groupe de sécurité universel avec une étendue de configuration :

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

Cet exemple attribue le rôle « Exchange Servers » au groupe de sécurité universel MailboxAdmins et applique l’étendue Mailbox Servers.

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

L'exemple précédent montre comment ajouter une attribution de rôle avec une étendue de configuration de serveur. La syntaxe utilisée pour ajouter une étendue de configuration de base de données est la même. Vous devez préciser le nom d’une étendue de base de données au lieu d’une étendue de serveur.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-ManagementRoleAssignment.

Créer une attribution de rôle avec une étendue d'unité d'organisation

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Attribution des rôles » dans la rubrique Autorisations pour la gestion des rôles.

Remarque :
Vous ne pouvez pas utiliser la console de gestion Exchange pour créer une attribution de rôle avec une étendue d’unité d’organisation.

Si vous souhaitez appliquer l’étendue d’écriture d’un rôle à une unité d’organisation, spécifiez l’unité d’organisation directement dans le paramètre RecipientOrganizationalUnitScope. Si vous utilisez le paramètre RecipientOrganizationalUnitScope, vous ne pouvez pas utiliser le paramètre CustomRecipientWriteScope.

Utilisez la syntaxe suivante pour attribuer un rôle à un groupe de sécurité universel et limiter l’éténdue d’écriture d’un rôle à une unité d’organisation spécifique :

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

Cet exemple attribue le rôle Mail Recipients au groupe de sécurité universel SalesRecipientAdmins et définit l’étendue de l’attribution sur l’unité d’organisation « sales/users » dans le domaine contoso.com.

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-ManagementRoleAssignment.

Créer une attribution de rôle avec une étendue de destinataire ou de configuration exclusive

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Attribution des rôles » dans la rubrique Autorisations pour la gestion des rôles.

Remarque :
Vous ne pouvez pas utiliser la console de gestion Exchange pour créer une attribution de rôle avec une étendue de destinataire ou de configuration exclusive.

Pour créer une attribution de rôle exclusive avec une étendue de destinataire ou de configuration exclusive, vous pouvez utiliser les procédures décrites dans les sections Create a role assignment with a recipient filter-based scope et Create a role assignment with a server or database filter or list-based configuration scope. Toutefois, lorsque vous créez une attribution de rôle avec une étendue exclusive, vous devez spécifier les paramètres exclusifs suivants selon que vous utilisez une étendue de destinataire exclusive ou un étendue de configuration exclusive :

• Étendues exclusives sur le destinataire   Utilisez le paramètre ExclusiveRecipientWriteScope au lieu du paramètre CustomRecipientWriteScope.

• Étendues de configuration exclusives   Utilisez le paramètre ExclusiveConfigWriteScope au lieu du paramètre CustomConfigWriteScope.

Lorsque vous exécutez cette procédure, les personnes auxquelles le rôle est attribué peuvent effectuer des actions sur les objets inclus dans l’étendue exclusive. Pour plus d'informations sur les étendues exclusives, voir Présentation des étendues exclusives.

Vous ne pouvez pas créer d'attribution de rôle avec des étendues à la fois exclusives et normales.

Cet exemple attribue le rôle Mail Recipients au groupe de sécurité universel Protected User Admins et applique l’étendue exclusive Protected Users.

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-ManagementRoleAssignment.

 © 2010 Microsoft Corporation. Tous droits réservés.