Configurer Exchange 2010 pour les autorisations partagées

Article
05/13/2016

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2012-07-23

Les autorisations partagées vous permettent, en tant qu’administrateur de Microsoft Exchange Server 2010, de créer les principaux de sécurité Active Directory (les utilisateurs par exemple), puis de les configurer comme destinataires d’Exchange. À l’inverse des autorisations fractionnées, qui permettent de répartir les tâches de gestion entre les groupes d’administrateurs Exchange et d’administrateurs Active Directory, les autorisations partagées n’ont pas recours à la séparation des tâches.

Pour plus d’informations sur les autorisations de partage, voir Présentation des autorisations fractionnées.

Vous pouvez configurer les autorisations partagées dans votre organisation Exchange 2010 si les autorisations fractionnées ont été préalablement paramétrées. La procédure permettant d’activer les autorisations partagées varie selon que vous utilisez actuellement les autorisations de type RBAC (contrôle d’accès basé sur un rôle) ou les autorisations Active Directory. Choisissez la procédure ci-après qui s’applique à votre configuration actuelle. Si les conditions suivantes sont remplies, votre organisation utilise les autorisations partagées Active Directory :

L’unité d’organisation Groupes protégés de Microsoft Exchange existe.
Le groupe de sécurité Autorisations de Exchange Windows se trouve dans l’unité d’organisation Groupes protégés de Microsoft Exchange.
Le groupe de sécurité du sous-système approuvé Exchange est membre du groupe de sécurité Autorisations de Exchange Windows.
Il n’y a pas d’attributions de rôle de gestion ordinaire au rôle Création de destinataires de message ou au rôle Création et appartenance au groupe de sécurité.

Si vous n’avez jamais configuré les autorisations fractionnées dans votre organisation, il n’est pas nécessaire d’exécuter cette procédure. Par défaut, Exchange 2010 est configuré pour les autorisations partagées.

Pour plus d’informations sur les groupes de rôle de gestion, les rôles de gestion et la délégation des attributions de rôles de gestion, voir les rubriques suivantes :

Souhaitez-vous rechercher les autres tâches de gestion relatives aux autorisations ? Consultez la rubrique Gestion des autorisations avancées.

Conditions préalables

L’organisation Exchange 2010 doit être configurée pour accepter les autorisations fractionnées Active Directory ou RBAC.
Vous devez disposer des autorisations appropriées pour déléguer les rôles de gestion Création du destinataire de messagerie et Création du groupe de sécurité et appartenance au groupe de rôles de gestion Gestion de l’organisation ou à un autre groupe de rôles auquel est attribué le rôle Destinataires de message.

Passer des autorisations fractionnées RBAC aux autorisations partagées

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Groupes de rôles » dans la rubrique Autorisations pour la gestion des rôles.

Remarque :
La console de gestion Exchange (EMC) ne permet pas de passer des autorisations fractionnées RBAC aux autorisations partagées.

Pour passer des autorisations fractionnées RBAC aux autorisations partagées Exchange 2010, vous devez attribuer le rôle Création du destinataire de messagerie et le rôle Création du groupe de sécurité et appartenance à un groupe de rôles auquel est également attribué le rôle Destinataires de message et qui possède comme membres les administrateurs Exchange 2010. Dans la configuration des autorisations partagées par défaut, le groupe de rôles Gestion de l’organisation contient chacun de ces rôles. De ce fait, le groupe de rôles Gestion de l’organisation figure dans cette procédure.

Configurer les autorisations partagées

Pour configurer les autorisations partagées dans le groupe de rôles Gestion de l’organisation, effectuez la procédure suivante en utilisant un compte doté des autorisations nécessaires pour déléguer les attributions de rôle du rôle Création du destinataire de messagerie et du rôle Création du groupe de sécurité et appartenance :

Ajoutez les attributions de rôle de délégation des rôles Création du destinataire de messagerie et Création du groupe de sécurité et appartenance au groupe de rôles Gestion de l’organisation en exécutant les commandes suivantes :

New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating

Remarque :
Le rôle de gestion des rôles doit être attribué au groupe de rôles (dans cette procédure, le groupe de rôle des administrateurs Active Directory) qui dispose des attributions de rôle de délégation pour les rôles Création du destinataire de messagerie et Création du groupe de sécurité et appartenance au groupe de rôles pour qu’il puisse exécuter la cmdlet New-ManagementRoleAssignment. L’utilisateur de rôle autorisé à déléguer le rôle de gestion des rôles doit attribuer ce rôle au groupe de rôles des administrateurs Active Directory.

Le rôle de gestion des rôles doit être attribué au groupe de rôles (dans cette procédure, le groupe de rôle des administrateurs Active Directory) qui dispose des attributions de rôle de délégation pour les rôles Création du destinataire de messagerie et Création du groupe de sécurité et appartenance au groupe de rôles pour qu’il puisse exécuter la cmdlet New-ManagementRoleAssignment. L’utilisateur de rôle autorisé à déléguer le rôle de gestion des rôles doit attribuer ce rôle au groupe de rôles des administrateurs Active Directory.

Ajoutez les attributions de rôle ordinaire du rôle Création du destinataire de messagerie aux groupes de rôles Gestion de l’organisation et Gestion des destinataires en exécutant les commandes suivantes :

New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"

Ajoutez une attribution de rôle ordinaire du rôle Création du groupe de sécurité et appartenance au groupe de rôles Gestion de l’organisation en exécutant la commande suivante.
```
New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
```

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-ManagementRoleAssignment.

Supprimer les autorisations via les administrateurs d’Active Directory (facultatif)

Vous pouvez éventuellement supprimer les autorisations octroyées aux administrateurs Active Directory si vous ne souhaitez plus créer ou gérer des objets Active Directory via les outils de gestion Exchange. Pour supprimer les autorisations dont disposent les administrateurs Active Directory, effectuez cette procédure.

Remarque :
Même s’il vous est possible de supprimer les autorisations des administrateurs Active Directory de gérer des objets Active Directory via les outils de gestion Exchange, Active Directory les administrateurs peuvent continuer à gérer les objets Active Directory au moyen des outils de gestion Active Directory si leurs autorisations Active Directory le leur permettent. Cependant, ils ne sont pas en mesure de gérer les attributs spécifiques à Exchange dans les objets Active Directory. Pour plus d’informations, voir Présentation des autorisations fractionnées.

Même s’il vous est possible de supprimer les autorisations des administrateurs Active Directory de gérer des objets Active Directory via les outils de gestion Exchange, Active Directory les administrateurs peuvent continuer à gérer les objets Active Directory au moyen des outils de gestion Active Directory si leurs autorisations Active Directory le leur permettent. Cependant, ils ne sont pas en mesure de gérer les attributs spécifiques à Exchange dans les objets Active Directory. Pour plus d’informations, voir Présentation des autorisations fractionnées.

Pour supprimer les autorisations fractionnées liées à Exchange des administrateurs Active Directory, procédez comme suit :

Au moyen de la commande suivante, supprimez les attributions de rôle ordinaire et de rôle de délégation qui attribuent le rôle Création du destinataire de messagerie au groupe de rôles ou au groupe de sécurité universelle qui contient comme membres les administrateurs Active Directory. Cette commande utilise le groupe de rôles des administrateurs Active Directory à titre d’exemple. Le commutateur WhatIf vous permet d’afficher les attributions de rôles qui seront supprimées. Supprimez le commutateur WhatIf, puis réexécutez la commande pour supprimer les attributions de rôles.
```
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
```
Au moyen de la commande suivante, supprimez les attributions de rôle ordinaire et de rôle de délégation qui attribuent le rôle Création du groupe de sécurité et appartenance au groupe de rôles ou au groupe de sécurité universelle qui contient comme membres les administrateurs Active Directory. Cette commande utilise le groupe de rôles des administrateurs Active Directory à titre d’exemple. Le commutateur WhatIf vous permet d’afficher les attributions de rôles qui seront supprimées. Supprimez le commutateur WhatIf, puis réexécutez la commande pour supprimer les attributions de rôles.
```
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
```
Facultatif. Pour supprimer l’ensemble des autorisations Exchange associées aux administrateurs Active Directory, vous pouvez supprimer le groupe de rôles ou le groupe de sécurité universelle dont ils sont membres. Pour plus d’informations sur la suppression d’un groupe de rôles, voir Supprimer un groupe de rôles.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment et Remove-ManagementRoleAssignment.

Passer des autorisations fractionnées Active Directory aux autorisations partagées

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Autorisations fractionnées Active Directory » dans la rubrique Autorisations pour la gestion des rôles.

Remarque :
La console de gestion Exchange (EMC) ne permet pas de basculer des autorisations fractionnées Active Directory vers les autorisations partagées.

Pour passer des autorisations fractionnées Active Directory aux autorisations partagées Exchange 2010, vous devez réexécuter le programme d’installation d’Exchange afin de désactiver les autorisations fractionnées Active Directory dans l’organisation Exchange, puis créer des attributions de rôles entre un groupe de rôles et les rôles Création du destinataire de messagerie et Création du groupe de sécurité et appartenance. Dans la configuration des autorisations partagées par défaut, le groupe de rôles Gestion de l’organisation contient chacun de ces rôles. De ce fait, le groupe de rôles Gestion de l’organisation figure dans cette procédure.

Important :
La commande setup.com dans cette procédure modifie Active Directory. Pour l’utiliser, vous devez utiliser un compte doté des autorisations requises. Ce compte peut être différent de celui disposant des autorisations pour créer les attributions de rôles via la cmdlet New-ManagementRoleAssignment. Utilisez le ou les comptes dotés des autorisations permettant d’exécuter chaque étape de la procédure.

La commande setup.com dans cette procédure modifie Active Directory. Pour l’utiliser, vous devez utiliser un compte doté des autorisations requises. Ce compte peut être différent de celui disposant des autorisations pour créer les attributions de rôles via la cmdlet New-ManagementRoleAssignment. Utilisez le ou les comptes dotés des autorisations permettant d’exécuter chaque étape de la procédure.

Pour passer des autorisations fractionnées Active Directory aux autorisations partagées, procédez comme suit :

Depuis une invite de commandes Windows, exécutez la commande suivante à partir du support d’installation d’Exchange 2010 SP1 pour désactiver les autorisations fractionnées Active Directory.
```
setup.com /PrepareAD /ActiveDirectorySplitPermissions:false
```

Depuis l’environnement de ligne de commande Exchange Management Shell, exécutez les commandes suivantes pour ajouter des attributions de rôles ordinaires entre les rôles Création du destinataire de messagerie et Création du groupe de sécurité et gestion et les groupes de rôles Gestion de l’organisation et Gestion des destinataires.

New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"

Redémarrez les serveurs Exchange 2010 dans votre organisation.