Exporter (0) Imprimer
Développer tout

Gestion de l’organisation

 

S’applique à : Exchange Server 2013

Dernière rubrique modifiée : 2012-10-17

Le Gestion de l’organisation Le groupe de rôles de gestion est l’un des groupes de rôles intégrés qui créent un modèle d’autorisations de contrôle d’accès basé sur un rôle (RBAC) dans Microsoft Exchange Server 2013. Un ou plusieurs rôles de gestion sont affectés aux groupes de rôles qui contiennent les autorisations requises pour effectuer un ensemble de tâches données. Les membres d’un groupe de rôles sont autorisés à accéder aux rôles de gestion attribués au groupe de rôles. (Pour plus d’informations à propos des groupes de rôles et des rôles de gestion, voir Présentation des groupes de rôles de gestion).

Les administrateurs membres du groupe de rôles Gestion de l’organisation disposent d’un accès administratif à toute l’organisation Exchange 2013 et peuvent réaliser presque n’importe quelle tâche relative à un objet Exchange 2013, avec quelques exceptions. Par défaut, les membres de ce groupe de rôles ne peuvent pas réaliser de recherches de boîtes aux lettres ni faire de gestion de rôles de gestion de la direction supérieure non étendus. Pour plus d’informations, consultez la section « Attributions de rôle de délégation uniquement » plus loin dans cette rubrique.

ImportantImportant :
Le groupe de rôles Gestion de l’organisation est un rôle très puissant et, à ce titre, seuls des utilisateurs ou des groupes de sécurité universels qui exécutent des tâches administratives au niveau organisationnel peuvent affecter l’intégralité de l’organisation Exchange s’ils sont membres de ce groupe de rôles.

Ce groupe de rôles correspond au rôle Administrateurs de l’organisation Exchange dans Exchange Server 2007.

Pour plus d’informations sur le contrôle d’accès basé sur un rôle, voir Présentation du contrôle d'accès basé sur un rôle.

Par défaut, le compte servant à installer Exchange 2013 dans l’organisation est ajouté comme membre du groupe de rôles Gestion de l’organisation. Ce compte peut ensuite ajouter d’autres membres au groupe de rôles de votre choix.

Pour ajouter des membres à ce groupe de rôles ou pour en supprimer, voir Gérer les membres de groupes de rôles.

Par défaut, uniquement les membres du groupe de rôles Gestion de l’organisation peuvent ajouter ou supprimer des membres dans ce groupe de rôles. Pour plus d’informations sur l’ajout de délégués de groupe de rôles supplémentaires, voir « Ajouter ou supprimer un délégué de groupe de rôles » dans Gérer des groupes de rôles.

Vous pouvez utiliser la commande suivante pour afficher une liste des utilisateurs ou des groupes de sécurité universelle qui sont membres de ce groupe de rôles.

Get-RoleGroupMember "Organization Management"

Pour plus d’informations sur les membres d’un groupe de rôles, voir Gérer des groupes de rôles.

Par défaut, les rôles de gestion sont affectés à ce groupe de rôles. Les rôles inclus sont répertoriés dans la section « Rôles de gestion attribués à ce groupe de rôles ». Vous pouvez ajouter ou supprimer des attributions de rôles dans ce groupe de rôles pour qu’ils correspondent aux besoins de votre organisation.

Les groupes de rôles fournis avec Exchange 2013 sont conçus pour correspondre à des tâches plus précises. En attribuant des rôles à un groupe de rôles, vous permettez aux membres de ce groupe de rôles d’effectuer les tâches associées au rôle. Par exemple, le rôle de journalisation permet la gestion de l’agent de journalisation et des règles de journalisation. Pour plus d’informations sur la façon dont les rôles sont attribués aux groupes de rôles, voir Présentation des attributions de rôles de gestion.

Les rôles attribués à ce groupe de rôles bénéficient d’étendues de gestion par défaut. Les étendues de gestion déterminent les objets Exchange qui peuvent être visualisés ou modifiés par les membres d’un groupe de rôles. Vous pouvez modifier les étendues associées aux attributions entre les rôles et les groupes de rôles. Par exemple, vous souhaitez peut-être effectuer cette opération si vous voulez uniquement que les membres d’un groupe de rôles puissent modifier les destinataires qui se trouvent dans une unité d’organisation ou un emplacement spécifique. Pour plus d’informations sur les étendues de gestion, voir Présentation des portées du rôle de gestion.

Pour plus d’informations sur la manière de personnaliser ce groupe de rôles, voir les rubriques suivantes :

Pour créer un groupe de rôles et attribuer certains des rôles affectés à ce groupe au nouveau groupe de rôles, consultez la section « Créer un groupe de rôles » dans Gérer des groupes de rôles.

Voici quelques méthodes que vous souhaiterez peut-être utiliser pour personnaliser ce rôle :

  • Détenteur d’autorisations   Si les autorisations de votre organisation sont contrôlées par un groupe spécifique autre que celui constitué par les administrateurs Exchange, vous pouvez créer un groupe de rôles et transférer les attributions de rôle du rôle Gestion des rôles au nouveau groupe de rôles. En effectuant cette opération, vous empêchez les membres du groupe de rôles Gestion de l’organisation de gérer les autorisations RBAC.

  • Autorisations fractionnées Active Directory   Si la création des entités de sécurité au sein de votre organisation, tels que les comptes d’utilisateurs, est contrôlée par un groupe spécifique autre que celui des administrateurs Exchange, vous pouvez créer un groupe de rôles et déplacer les attributions des rôles ordinaires et de délégation du rôle Création du destinataire de messagerie et Création du groupe de sécurité et appartenance dans le nouveau groupe de rôles. En effectuant cette opération, vous empêchez les membres du groupe de rôles Gestion de l’organisation de créer des objets Active Directory. Ils peuvent cependant continuer d’attribuer une extension de messagerie pour les nouveaux objets Active Directory. Pour plus d’informations sur les autorisations de partage, voir Présentation des autorisations fractionnées.

N’importe quel rôle peut être ajouté ou supprimé de ce groupe de rôle, avec les limitations suivantes :

  • Chaque rôle doit avoir au moins une attribution de rôle de délégation dans un groupe de rôle ou un groupe de sécurité universel avant que l’attribution de rôle de délégation puisse être retirée de ce groupe de rôles.

  • Le rôle Gestion des rôles doit avoir au moins une attribution de rôle de délégation dans un groupe de rôle ou un groupe de sécurité universel avant que l’attribution de rôle ordinaire puisse être retirée de ce groupe de rôles.

Ces limitations ont pour but de vous éviter d’être bloqué du système par inadvertance. En exigeant l’existence d’au moins une attribution de rôle de délégation entre chaque rôle et un ou plusieurs groupes de rôles ou groupes de sécurité universels, vous pourrez toujours attribuer des rôles à leurs utilisateurs. En exigeant l’existence d’au moins une attribution de rôle ordinaire entre le rôle Gestion des rôles et un ou plusieurs groupes de rôles ou groupes de sécurité universels, vous pourrez toujours configurer des groupes de rôles et des attributions de rôles.

ImportantImportant :
Ces limitations requièrent que les groupes de rôles ou les groupes de sécurité universels soient les cibles des attributions de rôle de délégation ou ordinaires. Vous ne pouvez pas supprimer une attribution de rôle de délégation ou l’attribution ordinaire du rôle Gestion des rôles si la dernière attribution est effectuée auprès d’un utilisateur.

Certaines attributions de rôle entre le groupe de rôles Gestion de l’organisation et les rôles de gestion (recherche de boîte aux lettres et gestion des rôles non délimités, par exemple), sont des attributions de rôle de délégation uniquement. Ces rôles autorisent l’accès à des informations sensibles ou personnelles, comme le contenu des boîtes aux lettres, ou permettent la création de puissants rôles de gestion non délimités.

Les attributions de rôle de délégation uniquement permettent aux seuls membres du groupe de rôles Gestion de l’organisation d’attribuer les rôles associés à d’autres groupes de rôles, stratégies d’attribution des rôles de gestion, utilisateurs ou groupes de sécurité universels. Les autorisations que les rôles fournissent ne sont pas attribués par défaut aux membres du groupe de rôles Gestion de l’organisation. Cela évite aux informations personnelles d’être exposées accidentellement ou une élévation accidentelle des privilèges.

Les membres du groupe de rôles Gestion de l’organisation peuvent, toutefois, s’attribuer n’importe quel rôle, leur permettant en réalité d’exécuter n’importe quelle tâche. Par exemple, un membre du groupe de rôles Gestion de l’organisation peut attribuer le rôle de recherche de boîte aux lettres au groupe de rôles Gestion de l’organisation. Suite à cette attribution de rôle, les membres du groupe de rôles Gestion de l’organisation peuvent réaliser des tâches activées par le rôle Recherche de boîte aux lettres.

Pour plus d’informations sur les attributions des rôles de délégation, voir Présentation des attributions de rôles de gestion.

Les autorisations accordées aux membres du groupe de rôles Gestion de l’organisation sont avant tout déterminées par les rôles de gestion attribués au groupe de rôles. Cependant, certaines tâches que vous devez effectuer ne sont pas prises en compte par les rôles de gestion. Certaines tâches se produisent hors des outils de gestion Exchange et par conséquent le modèle des autorisations RBAC ne s’applique pas. Pour ces tâches, les autorisations sont fournies en ajoutant le groupe de rôles Gestion de l’organisation aux listes de contrôle d’accès de certains objets Active Directory.

Des autorisations sont accordées aux tâches suivantes au moyen de listes de contrôle d’accès sur des objets Active Directory et non pas par des rôles de gestion attribués au groupe de rôles Gestion de l’organisation :

  • Exécution de DomainPrep et ForestPrep à l’aide de Setup.exe

  • Déployer des serveurs supplémentaires dans l’organisation

Le tableau suivant répertorie tous les rôles de gestion qui sont attribués à ce groupe de rôles et les attributs suivants de chaque attribution de rôle :

  • Attribution normale   Permet aux membres du groupe de rôles d’accéder aux entrées de rôle de gestion rendues disponibles par le rôle de gestion associé.

  • Attribution de délégation   Permet aux membres du groupe de rôles d’affecter le rôle spécifié à d’autres groupes de rôles, stratégies d’attribution de rôle, utilisateurs ou groupes de sécurité universels.

  • Étendue de lecture du destinataire   Détermine les membres des objets destinataires du groupe de rôles qui sont autorisés à lire des éléments à partir d’Active Directory.

  • Étendue d’écriture du destinataire   Détermine les membres des objets destinataires du groupe de rôles qui sont autorisés à effectuer des modifications dans Active Directory.

  • Étendue de lecture de configuration   Détermine les membres des objets serveur et de configuration du groupe de rôles qui sont autorisés à lire des éléments à partir d’Active Directory.

  • Étendue d’écriture du destinataire   Détermine les membres des objets destinataires du groupe de rôles qui sont autorisés à effectuer des modifications dans Active Directory.

Pour plus d’informations sur les attributions de rôle et les étendues de gestion, voir les rubriques suivantes :

  • Présentation des attributions de rôles de gestion

  • Présentation des portées du rôle de gestion

  • Rôles de gestion attribués à ce groupe de rôles

    Rôle de gestionAttribution normaleDélégation d’une attributionÉtendue de lecture du destinataireÉtendue d’écriture du destinataireConfiguration de l’étendue de lectureConfiguration de l’étendue d’écriture

    Rôle des autorisations Active Directory

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des listes d’adresses

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle d’emprunt d’identité de l’application

     

    X

    Organization

    Organization

    None

    None

    Rôle ArchiveApplication

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des journaux d’audit

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des agents d’extension de cmdlet

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de prévention des pertes de données

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des groupes de disponibilité de base de données

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôles des copies de base de données

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des bases de données

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de récupération d’urgence

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des groupes de distribution

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des abonnements Edge

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des stratégies d’adresse de messagerie

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des connecteurs Exchange

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des certificats de serveur Exchange

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des serveurs Exchange

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des répertoires virtuels Exchange

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de partage fédéré

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de gestion des droits relatifs à l’information

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Journalisation du rôle

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de conservation légale

    X

    X

    Organization

    Organization

    OrganizationConfig

    None

    Rôle LegalHoldApplication

     

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des dossiers publics à extension messagerie

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de création du destinataire de messagerie

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des destinataires de message

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des conseils de messagerie

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle d’importation et d’exportation des boîtes aux lettres

     

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de recherche de boîte aux lettres

     

    X

    Organization

    Organization

    None

    None

    Rôle MailboxSearchApplication

     

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de suivi des messages

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de migration

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle d’analyse

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Déplacer le rôle des boîtes aux lettres

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle OfficeExtensionApplication

     

    X

    Self

    Self

    OrganizationConfig

    OrganizationConfig

    Rôle d’accès au client de l’organisation

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de configuration de l’organisation

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle Paramètres de transport de l’organisation

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des protocoles POP3 et IMAP4

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des dossiers publics

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Recevoir le rôle des connecteurs

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des stratégies du destinataire

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des domaines acceptés et distants

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de réinitialisation de mot de passe

     

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de gestion de la rétention

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de gestion des rôles

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Création du groupe de sécurité et rôle de membre

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Envoyer le rôle des connecteurs

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Prise en charge du rôle de diagnostics

     

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle TeamMailboxLifecycleApplication

     

    X

    Self

    Self

    OrganizationConfig

    OrganizationConfig

    Rôle des agents de transport

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle d’hygiène de transport

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des files d’attente de transport

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des règles de transport

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des boîtes aux lettres de messagerie unifiée

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des comptes de messagerie unifiée

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de gestion des rôles non délimités

     

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de messagerie unifiée

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle UserApplication

     

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des options de l’utilisateur

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle des journaux d’audit Affichage seul

    X

    X

    Organization

    None

    OrganizationConfig

    None

    Rôle de configuration en affichage seul

    X

    X

    Organization

    None

    OrganizationConfig

    None

    Rôle des destinataires en affichage seul

    X

    X

    Organization

    None

    OrganizationConfig

    None

    Rôle WorkloadManagement

    X

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle My Custom Apps

     

    X

    Self

    Self

    OrganizationConfig

    OrganizationConfig

    Rôle My Marketplace Apps

     

    X

    Self

    Self

    OrganizationConfig

    OrganizationConfig

    Rôle Mes options de base

     

    X

    Self

    Self

    OrganizationConfig

    OrganizationConfig

    Rôle Mes informations de contact

     

    X

    Self

    Self

    OrganizationConfig

    OrganizationConfig

    Rôle Mes diagnostics

     

    X

    Self

    Self

    OrganizationConfig

    OrganizationConfig

    Rôle Mon appartenance au groupe de distribution

     

    X

    MyGAL

    MyGAL

    None

    None

    Rôle Mes groupes de distribution

     

    X

    MyGAL

    MyDistributionGroups

    OrganizationConfig

    None

    Rôle Mes informations de profil

     

    X

    Self

    Self

    OrganizationConfig

    OrganizationConfig

    Rôle Mes stratégies de rétention

     

    X

    Self

    Self

    OrganizationConfig

    OrganizationConfig

    Rôle MyTeamMailboxes

     

    X

    Organization

    Organization

    OrganizationConfig

    OrganizationConfig

    Rôle de MyTextMessaging

     

    X

    Self

    Self

    OrganizationConfig

    OrganizationConfig

    Rôle Ma messagerie vocale

     

    X

    Self

    Self

    OrganizationConfig

    OrganizationConfig

     
    Cela vous a-t-il été utile ?
    (1500 caractères restants)
    Merci pour vos suggestions.
    Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

    Si vous souhaitez y participer,
    Afficher:
    © 2015 Microsoft