Présentation des portées du rôle de gestion
S'applique à : Exchange Server 2010
Dernière rubrique modifiée : 2009-10-14
Les étendues des rôles de gestion permettent de définir l’étendue spécifique de l’impact ou de l’influence d’un rôle de gestion lorsqu’une attribution de rôle de gestion est créée. Lorsque vous appliquez une étendue, la personne attribuée au rôle ne peut que modifier les objets contenus dans cette étendue. Une personne attribuée au rôle peut être un groupe de rôles de gestion, un rôle de gestion, une stratégie d’attribution de rôle de gestion, un utilisateur ou un groupe de sécurité universel. Pour plus d’informations sur les rôles de gestion, voir Présentation du contrôle d'accès basé sur un rôle.
Chaque rôle de gestion, qu’il soit intégré ou personnalisé, a des étendues de gestion. Une étendue de gestion peut être :
- Normale Une étendue normale n’est pas exclusive. Elle détermine où, dans Active Directory, les objets peuvent être visibles ou modifiés par les utilisateurs auxquels le rôle de gestion est attribué. En général, un rôle de gestion indique ce qui peut être créé ou modifié et une étendue de rôle de gestion indique à quel endroit s’effectue la création ou la modification. Les étendues normales peuvent être implicites ou explicites. Toutes deux sont décrites plus loin dans cette rubrique.
- Exclusive Une étendue exclusive se comporte presque de la même façon qu’une étendue normale. La principale différence réside dans le fait qu’elle permet de refuser l’accès aux objets contenus dans l’étendue exclusive si les utilisateurs ne se voient pas attribuer un rôle associé à l’étendue exclusive. Toutes les étendues exclusives sont explicites, comme cela est décrit plus loin dans cette rubrique.
Pour plus d’informations sur les étendues exclusives, voir Présentation des étendues exclusives.
Les étendues peuvent être héritées du rôle de gestion, définies comme une étendue relative prédéfinie sur une attribution de rôle de gestion ou créées à l’aide de filtres personnalisés et ajoutées à une attribution de rôle de gestion. Les étendues héritées des rôles de gestion s’appellent étendues implicites et les étendues prédéfinies et personnalisées s’appellent étendues explicites. Les sections suivantes décrivent chaque type d’étendue :
- Étendues implicites
- Étendues explicites
- Étendues relatives prédéfinies
- Étendues personnalisées
Chaque rôle peut posséder les types d’étendue suivants :
- Étendue de lecture du destinataire L’étendue implicite de lecture du destinataire détermine les objets destinataire que l’utilisateur auquel le rôle de gestion est attribué est autorisé à lire dans Active Directory.
- Étendue d’écriture du destinataire L’étendue implicite d’écriture du destinataire détermine les objets destinataire que l’utilisateur auquel le rôle de gestion est attribué est autorisé à modifier dans Active Directory.
- Étendue de lecture de configuration L’étendue implicite de lecture de configuration détermine les objets de configuration que l’utilisateur auquel le rôle de gestion est attribué est autorisé à lire dans Active Directory.
- Étendue d’écriture de configuration L’étendue d’écriture de configuration détermine les objets serveur et d’organisation que l’utilisateur auquel le rôle de gestion est attribué est autorisé à modifier dans Active Directory.
Les objets destinataire incluent des boîtes aux lettres, des groupes de distribution, des utilisateurs à extension messagerie et d’autres objets. Les objets de configuration incluent des serveurs exécutant Microsoft Exchange Server 2010. Chaque type d’étendue peut être implicite ou explicite.
Étendues implicites
Les étendues implicites sont des étendues par défaut qui s’appliquent à un type de rôle de gestion. Étant donné que les étendues implicites sont associées à un type de rôle de gestion, tous les rôles de gestion parent et enfant de même type ont également les mêmes étendues implicites. Les étendues implicites s’appliquent aux deux rôles de gestion intégrés et également à ceux personnalisés. Pour plus d’informations sur les rôles de gestion et leurs types, voir Présentation des rôles de gestion.
Les tableaux suivants répertorient toutes les étendues implicites qui peuvent être définies sur les rôles de gestion.
Étendues implicites définies sur les rôles de gestion
| Étendues implicites | Description |
|---|---|
|
Si Si Cette étendue est utilisée uniquement avec les étendues de lecture et d’écriture du destinataire. |
|
Si Si Cette étendue est utilisée uniquement avec les étendues de lecture du destinataire. |
|
Si Si Cette étendue est utilisée uniquement avec les étendues de lecture et d’écriture du destinataire. |
|
Si Si Cette étendue est utilisée uniquement avec les étendues de lecture et d’écriture du destinataire. |
|
Si Si Cette étendue est utilisée uniquement avec les étendues de lecture et d’écriture de configuration. |
|
Si |
Si un rôle est attribué à une personne et qu’aucune étendue prédéfinie ou personnalisée n’est spécifiée, les étendues implicites définies sur le rôle sont utilisées pour contrôler les objets destinataire ou organisation que l’utilisateur peut afficher ou modifier.
Le tableau suivant répertorie tous les rôles de gestion intégrés et leurs étendues implicites.
Étendues implicites des rôles de gestion intégrés
| Rôle de gestion | Étendue de lecture du destinataire | Étendue d’écriture du destinataire | Étendue de lecture de configuration | Étendue d’écriture de configuration |
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
L’étendue d’écriture implicite d’un rôle est toujours égale à ou inférieure à l’étendue de lecture implicite. Cela signifie qu’un rôle ne peut jamais modifier des objets invisibles par l’étendue.
Vous ne pouvez pas modifier les étendues implicites définies sur les rôles de gestion. Vous pouvez, toutefois, remplacer l’étendue d’écriture implicite et l’étendue de configuration sur un rôle de gestion. Lorsqu’une étendue relative prédéfinie ou une étendue personnalisée est utilisée sur une attribution de rôle, l’étendue d’écriture implicite ou l’étendue de configuration du rôle est remplacée et la nouvelle étendue devient prioritaire. L’étendue de lecture implicite d’un rôle ne peut pas être remplacée et s’applique toujours. Pour plus d’informations sur les étendues explicites personnalisées ou prédéfinies, reportez-vous aux sections associées plus loin dans cette rubrique.
Étendues explicites
Les étendues explicites sont des étendues que vous définissez vous-même pour contrôler les objets qu’un rôle de gestion peut modifier. Alors que les étendues implicites sont définies sur un rôle de gestion, les étendues explicites le sont sur une attribution de rôle de gestion. Ainsi, les étendues implicites sont appliquées systématiquement à tous les rôles de gestion à moins que vous choisissiez d’utiliser une étendue explicite de remplacement. Pour plus d’informations sur les attributions de rôle de gestion, voir Présentation des attributions de rôles de gestion.
Les étendues explicites remplacent les étendues de configuration et d’écriture implicites d’un rôle de gestion. Elles ne remplacent pas l’étendue de lecture implicite d’un rôle de gestion. L’étendue de lecture implicite continue à définir les objets lisibles par le rôle de gestion.
Les étendues explicites sont utiles lorsque l’étendue d’écriture implicite d’un rôle de gestion ne répond pas à vos besoins. Vous pouvez ajouter une étendue explicite pour inclure à peu près tout ce que vous voulez tant que la nouvelle étendue ne dépasse pas les limites de l’étendue de lecture implicite. Les cmdlets faisant partie d’un rôle de gestion doivent pouvoir lire les informations sur les objets ou les conteneurs d’objets pour pouvoir créer ou modifier les objets. Par exemple, si l’étendue de lecture implicite d’un rôle de gestion est définie sur Self, vous ne pouvez pas ajouter une étendue d’écriture explicite Organization, car cette dernière dépasse les limites de la première.
Les sections suivantes décrivent les étendues relatives prédéfinies et les étendues personnalisées.
Étendues relatives prédéfinies
Exchange 2010 propose plusieurs étendues d’écriture relatives prédéfinies que vous pouvez utiliser pour modifier l’étendue d’un rôle de gestion. Les étendues relatives prédéfinies répondent plus précisément à vos besoins sans avoir à créer manuellement des étendues personnalisées. Elles s’appellent étendues relatives, car elles sont relatives à la personne à laquelle l’attribution de rôle associée est affectée. Par exemple, l’étendue relative prédéfinie Self limite cette étendue d’écriture uniquement à l’utilisateur actuel. L’étendue relative prédéfinie MyDistributionGroups limite l’étendue d’écriture uniquement au groupe de distribution appartenant à l’utilisateur actuel. Les étendues relatives prédéfinies sont uniquement utilisables pour délimiter les objets destinataire. Les étendues relatives prédéfinies ne peuvent pas être utilisées pour délimiter les objets configuration. Le tableau suivant répertorie les étendues relatives prédéfinies que vous pouvez utiliser.
Étendues relatives prédéfinies
| Étendues implicites | Description |
|---|---|
|
Si Si Cette étendue est utilisée uniquement avec les étendues de lecture et d’écriture du destinataire. |
|
Si Si Cette étendue est utilisée uniquement avec les étendues de lecture et d’écriture du destinataire. |
|
Si Si Cette étendue est utilisée uniquement avec les étendues de lecture et d’écriture du destinataire. |
Les étendues relatives prédéfinies sont appliquées lorsque vous créez une nouvelle attribution de rôle de gestion. Lors de la création de l’attribution de rôle, à l’aide de la cmdlet New-ManagementRoleAssignment, vous pouvez spécifier une étendue relative prédéfinie en utilisant le paramètre RecipientRelativeWriteScope. Lorsque la nouvelle attribution de rôle est créée, le nouveau rôle prédéfini remplace l’étendue d’écriture implicite du rôle de gestion.
Pour plus d’informations sur l’ajout d’une attribution de rôle de gestion à une étendue relative prédéfinie, voir Ajouter un rôle à un utilisateur ou un groupe de sécurité universel.
Étendues personnalisées
Les étendues personnalisées sont nécessaires lorsque ni l’étendue d’écriture implicite ni l’étendue relative prédéfinie ne répond à vos besoins. Les étendues personnalisées permettent de définir plus précisément l’étendue à laquelle le rôle de gestion sera appliqué. Par exemple, vous voudrez peut-être cibler une unité d’organisation spécifique, un type de destinataire particulier ou les deux.
Comme pour les étendues relatives prédéfinies, les étendues personnalisées remplacent les étendues de configuration d’organisation et d’écriture implicite définies sur les rôles de gestion. L’étendue de lecture implicite sur les rôles de gestion continue à s’appliquer et l’étendue personnalisée obtenue ne doit pas dépasser les limites de l’étendue de lecture implicite.
L’étendue personnalisée la plus simple est une étendue d’unité d’organisation créée à l’aide du paramètre RecipientOrganizationalUnitScope sur la cmdlet New-ManagementRoleAssignment. En spécifiant une étendue d’unité d’organisation lorsqu’un rôle est attribué, l’utilisateur auquel le rôle est attribué peut modifier uniquement les objets destinataire contenus dans cette unité d’organisation.
Pour plus d’informations sur l’ajout d’une attribution de rôle de gestion à une étendue d’unité d’organisation, voir Ajouter un rôle à un utilisateur ou un groupe de sécurité universel.
Des étendues personnalisées plus complexes et précises peuvent être créées à l’aide de la cmdlet New-ManagementScope. À l’aide de la cmdlet New-ManagementScope, vous pouvez créer des étendues filtrées de configuration et de destinataire. Les étendues filtrées de destinataire utilisent des filtres permettant de cibler des destinataires en particulier selon leur type ou d’autres propriétés telles que le service, le responsable, le lieu, entre autres. Les étendues filtrées de configuration utilisent des filtres permettant de cibler des serveurs en particulier selon les propriétés filtrables définissables sur les serveurs, telles qu’un site Active Directory ou un rôle serveur.
Lorsque vous créez une étendue filtrée de destinataire ou de configuration, seuls les objets destinataire ou serveur répondant à leurs étendues filtrées respectives sont renvoyés. Lorsque ces étendues sont appliquées à une attribution de rôle à l’aide de la cmdlet New-ManagementRoleAssignment ou Set-ManagementRoleAssignment, seuls les objets répondant aux filtres peuvent être modifiés par les personnes auxquelles est attribué le rôle. Une fois l’étendue personnalisée créée, vous ne pouvez pas changer le type d’étendue. Une étendue de destinataire est toujours une étendue de destinataire et une étendue de configuration est toujours une étendue de configuration.
Par défaut, une étendue personnalisée permet à une personne attribuée au rôle d’accéder à un ensemble d’objets qui répondent aux filtres définis. Toutefois, l’accès aux autres personnes attribuées au rôle auxquelles n’est pas attribuée également l’étendue identique ou équivalente n’est pas activement exclu. Toute étendue personnalisée peut accéder aux mêmes objets si les filtres de ces étendues correspondent aux mêmes objets. Pour certains objets, ce comportement n’est pas souhaité, par exemple, pour le personnel d’encadrement. Pour ces objets, vous pouvez définir des étendues exclusives. Les étendues exclusives utilisent les filtres de la même façon que les étendues normales, sauf qu’elles refusent l’accès aux objets inclus dans l’étendue à quiconque ne fait pas partie de l’étendue exclusive identique ou équivalente. Pour plus d’informations sur les étendues exclusives, voir Présentation des étendues exclusives.
Pour plus d’informations
Présentation des filtres d'attribution du rôle de gestion
Créer une étendue normale ou exclusive
Changer l’étendue des attributions de rôle dans le groupe de rôles