Partager via


Présentation des rôles de gestion

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2015-03-09

Les rôles de gestion font partie du modèle d’autorisations de contrôle d’accès basé sur les rôles (Role Based Access Control ou RBAC) utilisé dans Microsoft Exchange Server 2010. Les rôles agissent comme des groupements logiques de cmdlets, qui sont associés pour permettre d’afficher ou de modifier la configuration des composants Exchange 2010, tels que les boîtes aux lettres, les règles de transport et les destinataires. Les rôles de gestion peuvent ensuite être associés à un niveau supérieur pour former des groupements plus importants, appelés groupes de rôles de gestion et stratégies d’attribution des rôles de gestion, lesquels permettent de gérer des zones de fonctionnalités et la configuration des destinataires. Les groupes de rôles et les stratégies d’attribution des rôles accordent respectivement des autorisations aux administrateurs et aux utilisateurs finals. Pour plus d’informations sur les groupes de rôles de gestion et les stratégies d’attribution des rôles de gestion, consultez la rubrique Présentation du contrôle d'accès basé sur un rôle.

RemarqueRemarque :
Cette rubrique traite de la fonctionnalité RBAC avancée. Si vous souhaitez gérer des autorisations Exchange 2010 de base, comme l’utilisation du panneau de configuration Exchange (ECP) pour ajouter et supprimer des membres dans les groupes de rôles, créer et modifier des groupes de rôles, ou créer et modifier des stratégies d’attribution de rôles, voir Présentation des autorisations.

Table des matières

Rôles de gestion intégrés

Rôles de gestion de niveau supérieur non délimités

Rôles de gestion personnalisés

Hiérarchie des rôles de gestion

Entrées de rôles de gestion

Entrées de rôle de niveau supérieur non délimité

Types de rôle de gestion

Les étendues de rôles de gestion et les attributions de rôles de gestion constituent des composants essentiels au fonctionnement des rôles de gestion. Pour plus d’informations sur ces composants, consultez les rubriques suivantes :

Souhaitez-vous rechercher les tâches de gestion liées aux rôles de gestion ? Voir Gestion des autorisations.

Rôles de gestion intégrés

Exchange 2010 propose de nombreux rôles de gestion intégrés que vous pouvez utiliser pour administrer votre organisation. Chaque rôle comprend les cmdlets et les paramètres dont les utilisateurs ont besoin pour gérer des composants Exchange spécifiques. Voici des exemples de rôles de gestion intégrés :

  • Destinataires de courrier   Permet aux administrateurs de gérer les boîtes aux lettres, les contacts et les utilisateurs de courrier électronique.

  • Règles de transport   Permet aux administrateurs ou aux utilisateurs spécialistes d’attribuer le rôle permettant de gérer la fonctionnalité des règles de transport.

  • Groupes de distribution   Permet aux administrateurs ou aux utilisateurs spécialistes d’attribuer le rôle permettant de gérer les groupes de distribution et leurs membres.

  • MyPersonalInformation   Permet aux utilisateurs finaux de modifier leur numéro de téléphone personnel et l’adresse de leur site Web.

Pour obtenir une liste complète des rôles de gestion inclus dans Exchange 2010, consultez Rôles de gestion intégrés.

Vous pouvez associer les rôles intégrés fournis avec Exchange 2010 afin de créer un modèle d’autorisations adapté à votre activité professionnelle. Par exemple, si vous souhaitez que les membres d’un groupe de rôles gèrent les destinataires et les dossiers publics, vous attribuez les rôles Destinataires de messagerie et Dossiers publics au groupe de rôles. Dans la plupart des cas, vous attribuez des rôles aux groupes de rôles ou des stratégies d’attribution de rôles. Vous pouvez également attribuer des rôles de gestion d’attribution directement aux utilisateurs si vous souhaitez contrôler les autorisations à un niveau détaillé. Pour simplifier votre modèle d’autorisations, nous vous conseillons d’utiliser des groupes de rôles et des stratégies d’attribution de rôles plutôt que des attributions directes de rôles d’utilisateur.

RemarqueRemarque :
Vous pouvez uniquement attribuer des rôles de gestion d’utilisateur final aux stratégies d’attribution de rôles.

Les rôles de gestion intégrés ne sont pas modifiables. Toutefois, vous pouvez créer des rôles de gestion calqués sur les rôles de gestion intégrés, puis attribuer ces nouveaux rôles à des groupes de rôles ou à des stratégies d’attribution de rôles. Vous pouvez ensuite modifier les nouveaux rôles de gestion pour les adapter à vos besoins. Il est très rare d’avoir à réaliser cette tâche, d’ailleurs réservée aux utilisateurs avancés.

Pour plus d’informations sur la création de rôles personnalisés calqués sur les rôles intégrés Exchange, consultez Rôles de gestion personnalisés plus loin dans cette rubrique. 

Vous devez attribuer des rôles de gestion pour qu’ils prennent effet. Dans la plupart des cas, vous attribuez des rôles de gestion aux groupes de rôles et aux stratégies d’attribution de rôles. Dans certains cas, vous pouvez également attribuer des rôles directement aux utilisateurs. Mais il est très rare d’avoir à réaliser cette tâche, d’ailleurs réservée aux utilisateurs avancés.

Pour plus d’informations sur l’attribution des rôles de gestion, consultez les rubriques suivantes :

Pour plus d’informations sur les attributions des rôles de gestion, consultez la rubrique Présentation des attributions de rôles de gestion.

Retour au début

Rôles de gestion de niveau supérieur non délimités

Les rôles de gestion de niveau supérieur non délimités sont un type spécial de rôles de gestion qui vous permettent d’autoriser les utilisateurs RBAC d’accéder à des scripts personnalisés et à des cmdlets non Exchange. Les rôles de gestion standard permettent uniquement d’accéder aux cmdlets Exchange. Si vous devez donner accès à des cmdlets non Exchange à exécuter sur un serveur Exchange, ou si vous souhaitez publier un script exécutable par d’autres utilisateurs, vous devez les ajouter à un rôle non délimité. Ces rôles sont dits de niveau supérieur car si un rôle non délimité est créé sans qu’il soit dérivé d’un rôle parent, il ne dispose d’aucun parent et présente le même niveau que les rôles de gestion intégrés fournis avec Exchange 2010. Pour indiquer que vous souhaitez créer une entrée de rôle de niveau supérieur non délimité, vous devez utiliser le commutateur UnscopedTopLevel avec la cmdlet New-ManagementRole.

Les rôles non délimités sont appelés ainsi car, contrairement aux rôles de gestion standard, leur étendue ne peut pas être restreinte à une cible spécifique. Les rôles non délimités s’appliquent toujours à toute l’organisation. En conséquence, une personne bénéficiant d’un rôle non délimité peut modifier tous les objets dans l’organisation Exchange 2010. Pour cette raison, veillez à ce que les scripts et les cmdlets rendus disponibles via un rôle non délimité soient parfaitement testés pour être certain de savoir ce qu’ils vont modifier. De même, soyez vigilant lors de l’attribution des rôles non délimités.

Des éléments tels que des groupes de rôles, des rôles de gestion, des utilisateurs et des groupes de sécurité universelle (USG) peuvent être attribués aux rôles non délimités. Ils ne peuvent pas être attribués à des stratégies d’attribution de rôles de gestion.

Même si les cmdlets Exchange ne peuvent pas être ajoutées sous la forme d’entrées de rôle de gestion dans un rôle non délimité, vous pouvez toutefois les inclure à des scripts que vous ajoutez ensuite comme entrées de rôle. Cela vous permet de créer des scripts personnalisés effectuant des tâches Exchange que vous pouvez attribuer aux utilisateurs. Cela s’avère utile, par exemple, lorsqu’un utilisateur doit effectuer une tâche nécessitant des privilèges très élevés et dépassant normalement son niveau administratif, et que la création d’un nouveau rôle de gestion ou d’un groupe de rôles pose certains problèmes. Vous pouvez créer un script réalisant la fonction spécifique, l’ajouter à un rôle non délimité, puis attribuer ce rôle à l’utilisateur. L’utilisateur peur alors réaliser uniquement la fonction spécifique fournie par le script.

Une entrée de rôle que vous ajoutez à un rôle non délimité doit également être désignée comme une entrée de rôle de niveau supérieur non délimité. Pour plus d’informations sur les entrées de rôle de niveau supérieur non délimité, consultez Entrées de rôle de niveau supérieur non délimité plus loin dans ce chapitre.

Le groupe de rôles Gestion de l’organisation, par défaut, ne dispose pas d’autorisations pour créer ou gérer des groupes de rôles non délimités. Cette caractéristique évite ainsi la création ou la modification accidentelle de groupes de rôles non délimités. Le groupe de rôles Gestion de l’organisation peut déléguer le rôle de gestion Gestion de rôles non délimités à lui-même ainsi qu’aux autres bénéficiaires de rôles. Pour plus d’informations sur la création d’un rôle de gestion de niveau supérieur non délimité, voir Créer un rôle non délimité.

Retour au début

Rôles de gestion personnalisés

Vous pouvez créer des rôles de gestion personnalisés calqués sur les rôles intégrés Exchange lorsque les rôles de gestion intégrés ne répondent pas aux besoins de vos utilisateurs. Lorsque vous créez un rôle de gestion personnalisé, le nouveau rôle enfant hérite de toutes les entrées du rôle de gestion du rôle parent. Vous pouvez alors choisir les entrées du rôle de gestion que vous souhaitez conserver dans le rôle de gestion personnalisé, puis supprimer toutes les entrées non désirées.

Les rôles personnalisés deviennent des enfants du rôle utilisé pour créer le rôle. Vous pouvez uniquement utiliser des entrées existant dans le rôle parent avec le nouveau rôle enfant. Pour plus d’informations, consultez les sections suivantes présentées ci-après dans cette rubrique :

  • Hiérarchie des rôles de gestion

  • Entrées de rôles de gestion

La création de rôles de gestion personnalisés passe par plusieurs étapes. Il s’agit d’une tâche avancée que vous serez rarement amené à effectuer. Avant de créer un rôle de gestion personnalisé, assurez-vous qu’aucun des rôles de gestion intégrés ne fournit les autorisations dont vous avez besoin. Pour plus d’informations sur les rôles de gestion intégrés, ou si vous souhaitez créer des rôles de gestion personnalisés, consultez les rubriques suivantes :

Pour plus d’informations sur la création d’un rôle de gestion, consultez la rubrique Créer un rôle.

Retour au début

Hiérarchie des rôles de gestion

Les rôles de gestion sont régis par une hiérarchie parent - enfant. Les rôles de gestion intégrés, fournis par défaut avec Exchange 2010, occupent le haut de la hiérarchie. Lorsque vous créez un rôle, une copie du rôle parent est générée. Le nouveau rôle est un enfant du rôle que vous avez copié. Vous pouvez alors personnaliser le nouveau rôle pour l’adapter aux besoins des administrateurs ou des utilisateurs auxquels vous souhaitez l’attribuer.

Les rôles personnalisés peuvent être utilisés pour créer d’autres rôles. Lorsque vous créez un rôle à partir d’un rôle personnalisé existant, ce dernier reste un enfant de son rôle parent, mais devient également parent du nouveau rôle. Chaque fois qu’un rôle est copié, le nouveau rôle enfant ne peut contenir que les entrées de rôle présentes dans le rôle parent.

Chaque rôle de gestion bénéficie d’un type de rôle non modifiable. Le type définit le contexte sommaire d’utilisation du rôle. Le type de rôle est copié à partir du rôle parent à la création du rôle enfant.

Hiérarchie des rôles de gestion

Diagramme hiérarchique des rôles de gestion RBAC

La figure précédente illustre la relation hiérarchique entre plusieurs rôles de gestion. Les rôles Destinataires de messagerie et Support technique sont des rôles intégrés. Tous les rôles enfants dérivés de ces rôles héritent du type de rôle de chaque rôle intégré. Par exemple, tous les rôles enfants dérivés, directement ou indirectement, du rôle Destinataires de messagerie héritent du type de rôle MailRecipients.

Le rôle personnalisé Administrateurs des destinataires Seattle est enfant du rôle intégré Destinataires de messagerie, mais également parent des rôles personnalisés Administrateurs des destinataires Ventes Seattle et Administrateurs des destinataires Section juridique Seattle. Le rôle personnalisé Administrateurs des destinataires Seattle peut uniquement contenir un sous-ensemble de cmdlets qui sont disponibles dans le rôle Destinataires de messagerie. Les rôles enfants du rôle personnalisé Administrateurs des destinataires Seattle peuvent uniquement contenir les cmdlets également présentes dans ce rôle. Par exemple, si une cmdlet existe dans le rôle Destinataires de messagerie, mais qu’elle ne se trouve pas dans le rôle personnalisé Administrateurs des destinataires Seattle, la cmdlet ne peut pas être ajoutée au rôle personnalisé Administrateurs des destinataires Ventes Seattle.

Le modèle de fonctionnement des rôles présentés ci-dessus s’applique à tous les rôles personnalisés. Pour plus d’informations sur la façon dont l’accès aux cmdlets est contrôlé sur les rôles de gestion, consultez Entrées de rôles de gestion plus loin dans cette rubrique.

Retour au début

Entrées de rôles de gestion

Chaque rôle de gestion, qu’il s’agisse d’un rôle Exchange personnalisé ou non délimité, doit disposer au moins d’une entrée de rôle de gestion. Une entrée se compose d’une seule cmdlet et de ses paramètres, d’un script ou d’une autorisation spéciale que vous souhaitez rendre disponible. Si une cmdlet ou un script ne se présente pas comme une entrée sur un rôle de gestion, cette cmdlet ou ce script n’est pas accessible via le rôle. De même, si un paramètre n’existe pas dans une entrée, le paramètre de cette cmdlet ou de ce script n’est pas accessible via ce rôle.

Exchange 2010 vous permet de gérer des entrées de rôles de gestion d’après les rôles Exchange intégrés de niveau supérieur et les entrées de rôles en fonction des rôles de gestion de niveau supérieur non délimités. Les rôles Exchange intégrés de niveau supérieur peuvent uniquement contenir des entrées de rôles qui sont des cmdlets Exchange 2010. Pour ajouter des scripts personnalisés ou des cmdlets non Exchange pour les mettre à disposition des utilisateurs, vous devez les ajouter sous la forme d’entrées de rôles non délimités dans un rôle de niveau supérieur non délimité. Pour plus d’informations sur les entrées de rôles non délimités, consultez Entrées de rôle de niveau supérieur non délimité plus loin dans cette rubrique.

Toutes les entrées de rôle, qu’il s’agisse d’une entrée de rôle basée sur les cmdlets Exchange ou d’une entrée de rôle non délimité, sont sujettes à des principes communs décrits dans les sections suivantes.

Pour plus d’informations sur la gestion des entrées de rôles, consultez Rôles de gestion et entrées de rôles.

Relation des rôles de gestion parents et enfants

Comme indiqué plus haut, une entrée de rôle de gestion (comprenant la cmdlet et ses paramètres) doit se trouver dans le rôle parent immédiat pour permettre son ajout au rôle enfant. Par exemple, si le rôle parent ne dispose pas d’une entrée pour New-Mailbox, le rôle enfant ne peut pas hériter de cette cmdlet. En outre, si Set-Mailbox se trouve dans le rôle parent mais que le paramètre Database a été supprimé de cette entrée, le paramètre Database de la cmdlet Set-Mailbox ne peut pas être ajouté à l’entrée sur le rôle enfant.

Comme vous ne pouvez pas ajouter des entrées de rôle de gestion aux rôles enfants si les entrées ne figurent pas dans les rôles parents, et comme le rôle est basé sur un type spécifique, vous devez choisir soigneusement le rôle parent à copier lorsque vous souhaitez créer un rôle personnalisé.

Retour au début

Noms des entrées de rôle de gestion

Les noms des entrées de rôle de gestion sont une combinaison du rôle de gestion auquel ils sont associés et du nom de cmdlet ou du script. Le nom de rôle et la cmdlet ou le script sont séparés par une barre oblique inverse (\). Par exemple, le nom de l’entrée de rôle correspondant à la cmdlet Set-Mailbox, sur le rôle Destinataires de messagerie, est Mail Recipients\Set-Mailbox. Si le nom d’une entrée de rôle contient des espaces, placez le nom complet entre guillemets (").

Le caractère générique (*) peut être utilisé dans le nom d’une entrée de rôle pour renvoyer toutes les entrées de rôle correspondant à votre saisie. Le caractère générique peut être utilisé librement des deux côtés de la barre oblique inverse. Le tableau suivant contient quelques variations sur le mode d’utilisation du caractère générique dans le nom d’une entrée de rôle.

Nom d’entrée de rôle de gestion contenant des caractères génériques

Exemple Description

*\*

Retourne une liste de toutes les entrées de rôle pour tous les rôles.

*\Set-Mailbox

Retourne une liste de toutes les entrées de rôle contenant la cmdlet Set-Mailbox.

Mail Recipients\*

Renvoie une liste de toutes les entrées de rôle sur le rôle Destinataires de messagerie.

Mail Recipients\*Mailbox

Renvoie une liste de toutes les entrées de rôle sur le rôle Destinataires de messagerie qui contiennent des cmdlets se terminant par Mailbox.

My*\*Group*

Renvoie une liste de toutes les entrées de rôle dont le nom de cmdlet contient la chaîne Group pour tous les rôles commençant par My.

Entrées de rôle de niveau supérieur non délimité

Les entrées de rôle de niveau supérieur non délimité sont utilisées avec les rôles de gestion de niveau supérieur non délimité pour créer des rôles basés sur des scripts personnalisés ou des cmdlets non Exchange. Chaque entrée de rôle non délimité est associée à un script personnalisé ou à une cmdlet non Exchange. Pour indiquer que vous souhaitez créer une entrée de rôle non délimité sur un rôle non délimité, vous devez spécifier le paramètre UnscopedTopLevel sur la cmdlet Add-ManagementRoleEntry.

Lorsque vous ajoutez l’entrée de rôle non délimité, vous devez spécifier tous les paramètres pouvant être utilisés avec le script ou la cmdlet non Exchange. Exchange tente de vérifier les paramètres que vous fournissez lors de l’ajout de l’entrée de rôle. Seuls les paramètres que vous ajoutez à l’entrée de rôle lors de sa création seront mis à disposition des utilisateurs affectés au rôle non délimité. Si vous ajoutez des paramètres au script ou à la cmdlet non Exchange, ou si les paramètres sont renommés, vous devez mettre à jour l’entrée de rôle manuellement. Exchange ne vérifie pas si les paramètres d’une entrée de rôle non délimité sont modifiés. Si le paramètre d’une entrée de rôle change dans un script et que vous essayez d’utiliser ce paramètre, la commande échoue.

Les scripts que vous ajoutez à une entrée de rôle non délimité doivent résider dans le répertoire des scripts Exchange 2010 sur tous les serveurs auxquels les administrateurs et les utilisateurs se connectent à l’aide de l’environnement de ligne de commande Exchange Management Shell. Si vous essayez d’ajouter une entrée de rôle non délimité à un script qui n’existe pas dans le répertoire des scripts Exchange 2010 sur le serveur que vous utilisez pour ajouter l’entrée de rôle, une erreur se produit. Le répertoire de scripts Exchange 2010 est installé par défaut à l’emplacement suivant : C:\Program Files\Microsoft\Exchange Server\V14\Scripts.

Les cmdlets non Exchange que vous ajoutez à une entrée de rôle non délimité doivent être installées sur tous les serveurs Exchange 2010 auxquels les administrateurs et les utilisateurs se connectent à l’aide du Shell pour utiliser ces cmdlets. Si vous essayez d’ajouter une entrée de rôle non délimité à une cmdlet Exchange qui n’est pas installée sur le serveur Exchange 2010 que vous utilisez pour ajouter l’entrée de rôle, une erreur se produit. Lorsque vous ajoutez une cmdlet non Exchange, vous devez spécifier le nom du composant logiciel enfichable Windows PowerShell contenant la cmdlet non Exchange.

Pour plus d’informations sur l’ajout d’une entrée de rôle de gestion non délimité, voir Ajouter une entrée de rôle à un rôle.

Retour au début

Types de rôle de gestion

Les types de rôle de gestion sont le fondement de tous les rôles de gestion. Les types définissent les étendues implicites définies sur tous les rôles de gestion d’un type de rôle donné et permettent également de regrouper les rôles connexes. Tous les rôles de gestion dérivant du rôle de gestion intégré parent disposent du même type de rôle. Consultez la figure relative à la hiérarchie des rôles de gestion plus haut dans cette rubrique pour obtenir une illustration de cette relation. Les types de rôle de gestion représentent également le nombre maximum de cmdlets (et de leurs paramètres) pouvant être ajouté à un rôle associé à un type de rôle.

Les types de rôle de gestion sont répartis en plusieurs catégories :

  • Administratif ou spécialiste   Rôles associés à un type de rôle administratif ou spécialiste et disposant d’une portée plus importante au sein de l’organisation Exchange. Les rôles de ce type permettent de réaliser des tâches telles que la gestion des destinataires ou des serveurs, la configuration de l’organisation, l’administration de la conformité, les audits, etc.

  • Centré sur l’utilisateur   Rôles associés à un type de rôle centré sur l’utilisateur et dont la portée est étroitement liée à un utilisateur individuel. Les rôles de ce type permettent de réaliser des tâches telles que la configuration des profils utilisateur et autogestion, gestion des groupes de distribution dont les utilisateurs sont propriétaires, etc.

    Les noms des rôles associés aux types de rôle centré sur l’utilisateur et des rôles centrés sur l’utilisateur commencent par Ma, Mon ou Mes.

  • Spécialité   Rôles associés à des types de rôle de spécialité qui permettent de réaliser des tâches ne correspondant pas aux types de rôle centré sur l’utilisateur ou administratif. Les rôles de ce type permettent de réaliser des tâches telles que l’emprunt d’identité d’application et l’utilisation de scripts ou de cmdlets non Exchange.

Le tableau suivant répertorie tous les types de rôle de gestion administratif présents dans Exchange 2010 et indique si la configuration autorisée par le type de rôle s’applique à l’intégralité de l’organisation Exchange ou uniquement à un serveur individuel. Pour plus d’informations sur chacun des rôles de gestion associés à ces types de rôle, comprenant une description de chaque rôle, les bénéficiaires éventuels des rôles ainsi que d’autres informations, consultez Rôles de gestion intégrés.

Types de rôle administratif

Type de rôle de gestion Rôle de gestion intégré Description Organisation ou serveur

ActiveDirectoryPermissions

Rôle des autorisations Active Directory

Ce type de rôle est associé à des rôles permettant aux administrateurs de configurer les autorisations Active Directory au sein d’une organisation. Certaines fonctionnalités reposant sur les autorisations Active Directory ou sur une liste de contrôle d’accès (ACL) comprennent les connecteurs de réception et d’envoi de transport, ainsi que les autorisations de boîtes aux lettres Envoyer en tant que et Envoyer de la part de.

RemarqueRemarque :
Les autorisations définies directement sur des objets Active Directory risquent de ne pas être appliquées via RBAC.

Organisation

AddressLists

Rôle des listes d’adresses

Ce type de rôle est associé aux rôles permettant aux administrateurs de gérer les listes d’adresses, les listes d’adresses globales et les listes d’adresses en mode hors connexion au sein d’une organisation.

Organisation

ApplicationImpersonation

Rôle d’emprunt d’identité de l’application

Ce type de rôle est associé aux rôles qui permettent aux applications d’assumer l’identité des utilisateurs dans une organisation pour effectuer des tâches pour leur compte.

Organisation

AuditLogs

Rôle des journaux d’audit

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer la configuration de l’enregistrement d’audit d’administrateur au sein d’une organisation.

Organisation

CmdletExtensionAgents

Rôle des agents d’extension de cmdlet

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les agents d’extension de cmdlets au sein d’une organisation.

Organisation

DatabaseAvailabilityGroups

Rôle des groupes de disponibilité de base de données

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les groupes de disponibilité de base de données (DAG) au sein d’une organisation. Les administrateurs pour lesquels ce rôle est attribué directement ou indirectement sont les administrateurs au plus haut niveau responsables de la configuration haute disponibilité d’une organisation.

Organisation

DatabaseCopies

Rôles des copies de base de données

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les copies de base de données sur des serveurs individuels.

Serveur

Databases

Rôle des bases de données

Ce type de rôle est associé à des rôles permettant aux administrateurs de créer, gérer, monter et démonter des bases de données de dossiers publics et de boîtes aux lettres sur des serveurs individuels.

Serveur

DisasterRecovery

Rôle de récupération d’urgence

Ce type de rôle est associé à des rôles permettant aux administrateurs de restaurer des groupes de disponibilité de base de données (DAG) et des boîtes aux lettres au sein d’une organisation.

Organisation

DistributionGroups

Rôle des groupes de distribution

Ce type de rôle est associé aux rôles permettant aux administrateurs de créer et de gérer des groupes de distribution et leurs membres au sein d’une organisation.

Organisation

EdgeSubscriptions

Rôle des abonnements Edge

Ce type de rôle est associé aux rôles permettant aux administrateurs de gérer la synchronisation et l’abonnement Edge entre les serveurs de transport Edge et les serveurs de transport Hub au sein d’une organisation.

Organisation

EmailAddressPolicies

Rôle des stratégies d’adresse de messagerie

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les stratégies d’adresses de messagerie au sein d’une organisation.

Organisation

ExchangeConnectors

Rôle des connecteurs Exchange

Ce type de rôle est associé aux rôles permettant aux administrateurs de gérer des connecteurs autres que les connecteurs d’envoi et de réception au sein d’une organisation. Ces connecteurs comprennent des connecteurs de groupe de routage et des connecteurs d’agent de remise.

Organisation

ExchangeServerCertificates

Rôle des certificats de serveur Exchange

Ce type de rôle est associé à des rôles permettant aux administrateurs de créer, importer, exporter et gérer des certificats de serveur Exchange sur des serveurs individuels.

Serveur

ExchangeServers

Rôle des serveurs Exchange

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer la configuration du serveur Exchange sur des serveurs individuels.

Serveur

ExchangeVirtualDirectories

Rôle des répertoires virtuels Exchange

Ce type de rôle est associé aux rôles permettant aux administrateurs de gérer Microsoft Office Outlook Web App, Microsoft ActiveSync, le carnet d’adresses en mode hors connexion, le service de découverte automatique, Windows PowerShell et les répertoires virtuels de l’interface d’administration Web sur des serveurs individuels.

Serveur

FederatedSharing

Rôle de partage fédéré

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer le partage entre les forêts et les organisations au sein d’une organisation.

Organisation

InformationRightsManagement

Rôle de gestion des droits relatifs à l’information

Ce type de rôle est associé aux rôles permettant aux administrateurs de gérer les fonctionnalités de gestion des droits relatifs à l’information d’Exchange au sein d’une organisation.

Organisation

Journaling

Journalisation du rôle

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer la configuration de journalisation au sein d’une organisation.

Organisation

LegalHold

Rôle de conservation légale

Ce type de rôle est associé à des rôles permettant aux administrateurs de configurer les données d’une boîte aux lettres pour déterminer si elles doivent être conservées pour l’arbitrage de litiges au sein d’une organisation.

Organisation

MailboxImportExport

Rôle d’importation et d’exportation des boîtes aux lettres

Ce type de rôle est associé aux rôles qui permettent aux administrateurs d’importer et d’exporter le contenu d’une boîte aux lettres et d’en supprimer le contenu inutile.

Organisation

MailboxSearch

Rôle de recherche de boîte aux lettres

Ce type de rôle est associé à des rôles permettant aux administrateurs d’effectuer des recherches dans le contenu d’une ou plusieurs boîtes aux lettres au sein d’une organisation.

Organisation

MailEnabledPublicFolders

Rôle des dossiers publics à extension messagerie

Ce type de rôle est associé à des rôles permettant aux administrateurs de configurer les dossiers publics individuels avec ou sans extension de messagerie dans une organisation.

Ce type de rôle vous permet de gérer uniquement les propriétés de messagerie des dossiers publics. Il ne vous permet pas de gérer les propriétés des dossiers publics qui ne sont pas des propriétés de la messagerie. Pour gérer les propriétés des dossiers publics qui ne sont pas des propriétés de la messagerie, vous devez disposer d’un rôle associé au type de rôle PublicFolders.

Organisation

MailRecipientCreation

Rôle de création du destinataire de messagerie

Ce type de rôle est associé à des rôles permettant aux administrateurs de créer des boîtes aux lettres, des utilisateurs de messagerie, des contacts de messagerie, des groupes de distribution et des groupes de distribution dynamiques au sein d’une organisation. Les rôles associés à ce type de rôle peuvent être associés à des rôles associés avec le type de rôle MailRecipients pour permettre la création et la gestion des destinataires.

Ce type de rôle ne vous permet d’attribuer une extension de messagerie aux dossiers publics. Pour ce faire, vous devez disposer d’un rôle associé au type de rôle MailEnabledPublicFolders.

Si votre organisation utilise un modèle d’autorisations divisées dans lequel la création des destinataires est effectuée par un groupe différent de celui chargé de gérer les destinataires, attribuez le rôle MailRecipientCreation au groupe responsable de la création des destinataires et le rôle MailRecipients au groupe réalisant la gestion des destinataires.

Organisation

MailRecipients

Rôle des destinataires de message

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les boîtes aux lettres, les utilisateurs de messagerie, les contacts de messagerie, les groupes de distribution et les groupes de distribution dynamiques au sein d’une organisation. Les rôles associés à ce type de rôle ne peuvent pas créer ces destinataires, mais peuvent être combinés avec des rôles associés avec le type de rôle MailRecipientCreation pour permettre la création et la gestion des destinataires.

Ce type de rôle ne vous permet pas de gérer des dossiers publics à extension messagerie ou des groupes de distribution. Pour gérer les dossiers publics à extension de messagerie, vous devez disposer d’un rôle associé au type de rôle MailEnabledPublicFolders. Pour gérer des groupes de distribution, vous devez disposer d’un rôle associé au type de rôle DistributionGroups.

Si votre organisation utilise un modèle d’autorisations divisées dans lequel la création des destinataires est effectuée par un groupe différent de celui chargé de gérer les destinataires, attribuez le rôle MailRecipientCreation au groupe responsable de la création des destinataires et le rôle MailRecipients au groupe réalisant la gestion des destinataires.

Organisation

MailTips

Rôle des conseils de messagerie

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les conseils de messagerie au sein d’une organisation.

Organisation

MessageTracking

Rôle de suivi des messages

Ce type de rôle est associé à des rôles permettant aux administrateurs d’effectuer le suivi des messages au sein d’une organisation.

Organisation

Migration

Rôle de migration

Ce rôle type est associé à des rôles permettant aux administrateurs de migrer des boîtes aux lettres et leur contenu vers ou depuis un serveur.

Serveur

Monitoring

Rôle d’analyse

Ce type de rôle est associé à des rôles permettant aux administrateurs d’analyser les services Microsoft Exchange et la disponibilité des composants au sein d’une organisation. En plus des administrateurs, les rôles associés à ce type de rôle peuvent être utilisés avec le compte de service employé par les applications d’analyse pour collecter des informations relatives à l’état des serveurs Exchange.

Organisation

MoveMailboxes

Déplacer le rôle des boîtes aux lettres

Ce type de rôle est associé à des rôles permettant aux administrateurs de déplacer des boîtes aux lettres entre les serveurs d’une organisation et entre les serveurs de l’organisation et locale et d’une autre organisation.

Organisation

OrganizationClientAccess

Rôle d’accès au client de l’organisation

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les paramètres du serveur d’accès au client au sein d’une organisation.

Organisation

OrganizationConfiguration

Rôle de configuration de l’organisation

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les paramètres applicables à toute l’organisation au sein d’une organisation. Ce type de rôle permet de contrôler notamment les éléments de configuration d’organisation suivants :

  • Activation ou désactivation de la fonctionnalité Infos-courrier pour l’organisation.

  • L’URL de la page d’accueil des dossiers gérés.

  • L’adresse SMTP des destinataires Microsoft Exchange et les adresses de messagerie secondaires.

  • La configuration du schéma de propriétés de la boîte aux lettres de ressources.

  • Les URL de l’aide de la console de gestion Exchange et d’Outlook Web App.

Ce type de rôle ne comprend pas les autorisations associées aux types de rôle OrganizationClientAccess ou OrganizationTransportSettings.

Organisation

OrganizationTransportSettings

Rôle Paramètres de transport de l’organisation

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les paramètres de transport au niveau de toute l’organisation, tels que les messages système, la configuration des sites et d’autres paramètres de transport applicables globalement à l’organisation.

Ce rôle ne vous permet pas de créer ou de gérer des connecteurs de réception ou d’envoi de transport, des files d’attente, l’hygiène, les agents, les domaines distants et acceptés ou les règles. Pour créer ou gérer chacune des fonctionnalités de transport, vous devez disposer des rôles associés aux types de rôle suivants :

  • Connecteurs de réception   ReceiveConnectors

  • Connecteurs d’envoi   SendConnectors

  • Files d’attente de transport   TransportQueues

  • Hygiène de transport   TransportHygiene

  • Agents de transport   TransportAgents

  • Domaines acceptés et distants   RemoteAndAcceptedDomains

  • Règles de transport   TransportRules

Organisation

POP3AndIMAP4Protocols

Rôle des protocoles POP3 et IMAP4

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer la configuration POP3 et IMAP (paramètres d’authentification et de connexion, par exemple) sur des serveurs individuels.

Serveur

PublicFolderReplication

Rôle de réplication des dossiers publics

Ce type de rôle est associé à des rôles permettant aux administrateurs de démarrer et d’arrêter la réplication des dossiers publics au sein d’une organisation.

Organisation

PublicFolders

Rôle des dossiers publics

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les dossiers publics au sein d’une organisation.

Ce type de rôle ne vous permet pas de gérer l’extension de messagerie des dossiers publics ou de gérer la réplication des dossiers publics. Pour activer ou désactiver l’extension de messagerie d’un dossier public, vous devez disposer d’un rôle associé au type de rôle MailEnabledPublicFolders. Pour configurer la réplication des dossiers publics, vous devez disposer d’un rôle associé au type de rôle PublicFolderReplication.

Organisation

ReceiveConnectors

Recevoir le rôle des connecteurs

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer la configuration des connecteurs de réception (notamment les limites de taille) sur un serveur individuel.

Serveur

RecipientPolicies

Rôle des stratégies du destinataire

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les stratégies de destinataire, telles que les stratégies de configuration, au sein d’une organisation.

Organisation

RemoteAndAcceptedDomains

Rôle des domaines acceptés et distants

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les domaines acceptés et distants au sein d’une organisation.

Organisation

RetentionManagement

Rôle de gestion de la rétention

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les stratégies de rétention au sein d’une organisation.

Organisation

RoleManagement

Rôle de gestion des rôles

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les groupes de rôles de gestion, les stratégies d’attribution des rôles, les rôles de gestion, les entrées de rôle, les attributions et les étendues au sein d’une organisation.

Les rôles attribués aux utilisateurs et associés à ce type de rôle peuvent remplacer le groupe de rôles géré par propriété, configurer n’importe quel groupe de rôles et ajouter ou supprimer des membres dans n’importe groupe de rôle.

Organisation

SecurityGroupCreationAndMembership

Création du groupe de sécurité et rôle de membre

Ce type de rôle est associé aux rôles permettant aux administrateurs de créer et de gérer des groupes de sécurité universels et leurs membres au sein d’une organisation.

Si votre organisation utilise un modèle d’autorisations divisées dans lequel la création et la gestion des groupes de sécurité universels sont réalisées par un groupe différent de celui qui gère les serveurs Exchange, attribuez à ce groupe les rôles associés à ce type de rôle.

Organisation

SendConnectors

Envoyer le rôle des connecteurs

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les connecteurs d’envoi de transport au sein d’une organisation.

Organisation

SupportDiagnostics

Prise en charge du rôle de diagnostics

Ce type de rôle est associé avec des rôles permettant aux administrateurs de réaliser des diagnostics avancés sous la direction des services de support technique Microsoft au sein d’une organisation.

AttentionAttention :
Les rôles associés à ce type de rôle accordent des autorisations aux cmdlets et aux scripts qui doivent uniquement être utilisés sous la direction du support technique Microsoft.

Organisation

TransportAgents

Rôle des agents de transport

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les agents de transport au sein d’une organisation.

Organisation

TransportHygiene

Rôle d’hygiène de transport

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les fonctionnalités de blocage du courrier indésirable et antivirus au sein d’une organisation.

Organisation

TransportQueues

Rôle des files d’attente de transport

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les files d’attente de transport sur des serveurs individuels.

Serveur

TransportRules

Rôle des règles de transport

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les règles de transport au sein d’une organisation.

Organisation

UMMailboxes

Rôle des boîtes aux lettres de messagerie unifiée

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer la configuration de message unifiée des boîtes aux lettres et des autres destinataires au sein d’une organisation.

Organisation

UMPrompts

Rôle des comptes de messagerie unifiée

Ce type de rôle est associé aux rôles permettant aux administrateurs de créer et de gérer les invites vocales personnalisées de messagerie unifiée au sein d’une organisation.

Organisation

UnifiedMessaging

Rôle de messagerie unifiée

Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les serveurs de messagerie unifiée au sein d’une organisation.

Ce rôle ne vous permet pas de gérer une configuration de boîte aux lettres spécifique à la messagerie unifiée ou des invites de messagerie unifiée. Pour gérer la configuration des boîtes aux lettres spécifique à la messagerie unifiée, utilisez les rôles associés au type de rôle UMMailboxes. Pour gérer les invites de messagerie unifiée, utilisez les rôles associés au type de rôle UMPrompts.

Organisation

UnScopedRoleManagement

Rôle de gestion des rôles non délimités

Ce type de rôle est associé aux rôles permettant aux administrateurs de créer et de gérer les rôles de gestion de niveau supérieur non délimités au sein d’une organisation.

Organisation

UserOptions

Rôle des options de l’utilisateur

Ce type de rôle est associé à des rôles permettant aux administrateurs d’afficher les options Outlook Web App d’un utilisateur au sein d’une organisation. Les rôles associés à ce type de rôle peuvent être utilisés pour aider un utilisateur à diagnostiquer des problèmes avec sa configuration.

Organisation

ViewOnlyAuditLogs

Rôle des journaux d’audit Affichage seul

Ce type de rôle est associé à des rôles permettant aux administrateurs d’effectuer des recherches dans le journal d’audit d’administrateur au sein d’une organisation.

Organisation

ViewOnlyConfiguration

Rôle de configuration en affichage seul

Ce type de rôle est associé à des rôles permettant aux administrateurs d’afficher tous les paramètres (ne concernant pas les destinataires) de configuration d’Exchange au sein d’une organisation. Les exemples de configuration qui sont affichables sont la configuration du serveur, la configuration du transport, la configuration de la base de données et la configuration à l’échelle de l’organisation.

Les rôles associés avec ce type de rôle peuvent être combinés avec des rôles associés au type de rôle ViewOnlyRecipients pour créer un rôle pouvant afficher chaque objet d’une organisation.

Organisation

ViewOnlyRecipients

Rôle des destinataires en affichage seul

Ce type de rôle est associé à des rôles permettant aux administrateurs d’afficher la configuration des destinataires, comme les boîtes aux lettres, les utilisateurs de messagerie, les contacts de messagerie, les groupes de distribution et les groupes de distribution dynamique.

Les rôles associés à ce type de rôle peuvent être combinés avec des rôles associés au type de rôle ViewOnlyConfiguration pour créer un rôle pouvant afficher chaque objet de l’organisation.

Organisation

Le tableau suivant répertorie tous les types de rôle de gestion centré sur l’utilisateur dans Exchange 2010.

Types de rôle centré sur l’utilisateur

Type de rôle de gestion Rôles intégrés centrés sur l’utilisateur Description

MyBaseOptions

Rôle Mes options de base

Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels d’afficher et de modifier la configuration de base de leurs boîtes aux lettres et des paramètres associés.

MyContactInformation

Rôle MyAddressInformation

Rôle Mes informations de contact

Rôle MyMobileInformation

Rôle MyPersonalInformation

Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels de modifier leurs informations de contact. Ces informations comprennent leurs numéros de téléphone et adresse.

MyDistributionGroupMembership

Rôle Mon appartenance au groupe de distribution

Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels d’afficher et de modifier leur appartenance aux groupes de distribution d’une organisation, à condition que ces groupes de distribution permettent la modification de l’appartenance.

MyDistributionGroups

Rôle Mes groupes de distribution

Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels de créer, de modifier et d’afficher les groupes de distribution, et de modifier, d’afficher, de supprimer et d’ajouter des membres dans les groupes de distribution qu’ils possèdent.

MyProfileInformation

Rôle MyDisplayName

Rôle MyName

Rôle Mes informations de profil

Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels de modifier leur nom.

MyRetentionPolicies

Rôle Mes stratégies de rétention

Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels d’afficher leurs balises de rétention, et d’afficher et de modifier leurs paramètres de balises de rétention et leurs valeurs par défaut.

MyTextMessaging

Rôle de MyTextMessaging

Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels de créer, d’afficher et de modifier leurs paramètres de messagerie texte.

MyVoiceMail

Rôle Ma messagerie vocale

Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels d’afficher et de modifier leurs paramètres de messagerie vocale.

Retour au début

Pour plus d’informations

New-ManagementRole

New-ManagementRoleAssignment

Set-ManagementRoleAssignment

New-ManagementScope

Set-ManagementScope

New-ManagementRoleAssignment

Set-ManagementRoleAssignment

 © 2010 Microsoft Corporation. Tous droits réservés.