Présentation des portées du rôle de gestion

 

Sapplique à :Exchange Online, Exchange Server 2013

Dernière rubrique modifiée :2015-04-07

Les étendues des rôles de gestion permettent de définir l’étendue spécifique de l’impact ou de l’influence d’un rôle de gestion lorsqu’une attribution de rôle de gestion est créée. Lorsque vous appliquez une étendue, la personne attribuée au rôle ne peut que modifier les objets contenus dans cette étendue. Une personne attribuée au rôle peut être un groupe de rôles de gestion, un rôle de gestion, une stratégie d’attribution de rôle de gestion, un utilisateur ou un groupe de sécurité universel. Pour plus d’informations sur les rôles de gestion, voir Présentation du contrôle d'accès basé sur un rôle.

RemarqueRemarque :
Cette rubrique traite de la fonctionnalité RBAC avancée. Si vous souhaitez gérer des autorisations Exchange 2013 de base, comme l’utilisation du centre d’administration Exchange pour ajouter et supprimer des membres dans les groupes de rôles, créer et modifier des groupes de rôles ou créer et modifier des stratégies d’attribution de rôles, consultez la rubrique Autorisations.

Chaque rôle de gestion, qu’il soit intégré ou personnalisé, a des étendues de gestion. Une étendue de gestion peut être :

  • Normale   Une étendue normale n’est pas exclusive. Elle détermine où, dans Active Directory, les objets peuvent être visibles ou modifiés par les utilisateurs auxquels le rôle de gestion est attribué. En général, un rôle de gestion indique ce qui peut être créé ou modifié et une étendue de rôle de gestion indique où la création ou la modification sont effectuées. Les étendues normales peuvent être implicites ou explicites. Toutes deux seront traitées plus loin dans cette rubrique.

  • Exclusive   Une étendue exclusive se comporte presque de la même façon qu’une étendue normale. La principale différence réside dans le fait qu’elle permet de refuser l’accès aux objets contenus dans l’étendue exclusive si les utilisateurs ne se voient pas attribuer un rôle associé à l’étendue exclusive. Toutes les étendues exclusives sont explicites, comme cela est décrit plus loin dans cette rubrique.

    Pour plus d’informations sur les étendues exclusives, voir Présentation des étendues exclusives.

Les étendues peuvent être héritées du rôle de gestion, définies comme une étendue relative prédéfinie sur une attribution de rôle de gestion ou créées à l’aide de filtres personnalisés et ajoutées à une attribution de rôle de gestion. Les étendues héritées des rôles de gestion s’appellent étendues implicites et les étendues prédéfinies et personnalisées s’appellent étendues explicites. Les sections suivantes décrivent chaque type d’étendue :

Chaque rôle peut posséder les types d’étendue suivants :

  • Étendue de lecture du destinataire   L’étendue implicite de lecture du destinataire détermine les objets destinataire que l’utilisateur auquel le rôle de gestion est attribué est autorisé à lire dans Active Directory.

  • Étendue d’écriture du destinataire   L’étendue implicite d’écriture du destinataire détermine les objets destinataire que l’utilisateur auquel le rôle de gestion est attribué est autorisé à modifier dans Active Directory.

  • Étendue de lecture de configuration   L’étendue implicite de lecture de configuration détermine les objets de configuration que l’utilisateur auquel le rôle de gestion est attribué est autorisé à lire dans Active Directory.

  • Étendue d’écriture de configuration   L’étendue implicite d’écriture de configuration détermine les objets organisation, base de données et serveur que l’utilisateur auquel le rôle de gestion est attribué est autorisé à modifier dans Active Directory.

Les objets destinataire incluent des boîtes aux lettres, des groupes de distribution, des utilisateurs à extension messagerie et d’autres objets. Les objets de configuration incluent les serveurs exécutant Microsoft Exchange Server 2013 ainsi que les bases de données sur les serveurs exécutant Exchange. Chaque type d’étendue peut être implicite ou explicite.

Les étendues implicites sont des étendues par défaut qui s’appliquent à un type de rôle de gestion. Étant donné que les étendues implicites sont associées à un type de rôle de gestion, tous les rôles de gestion parent et enfant de même type ont également les mêmes étendues implicites. Les étendues implicites s’appliquent aux deux rôles de gestion intégrés et également à ceux personnalisés. Pour plus d’informations sur les rôles de gestion et leurs types, voir Présentation des rôles de gestion.

Les tableaux suivants répertorient toutes les étendues implicites qui peuvent être définies sur les rôles de gestion.

Étendues implicites définies sur les rôles de gestion

Étendues implicites Description

Organization

Si Organization se trouve dans l’étendue d’écriture du destinataire du rôle, le rôle peut créer ou modifier les objets destinataire au sein de l’organisation Exchange.

Si Organization se trouve dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher n’importe quel objet destinataire au sein de l’organisation Exchange.

Cette étendue est utilisée uniquement avec les étendues de lecture et d’écriture du destinataire.

MyGAL

Si MyGAL se trouve dans l’étendue d’écriture du destinataire du rôle, le rôle peut afficher les propriétés de n’importe quel destinataire de la liste d’adresses globale de l’utilisateur actuel.

Si MyGAL se trouve dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher les propriétés de n’importe quel destinataire de la liste d’adresses globale actuelle.

Cette étendue est utilisée uniquement avec les étendues de lecture du destinataire.

Self

Si Self se trouve dans l’étendue d’écriture du destinataire du rôle, le rôle peut modifier uniquement les propriétés de la boîte aux lettres de l’utilisateur actuel.

Si Self se trouve dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher uniquement les propriétés de la boîte aux lettres de l’utilisateur actuel.

Cette étendue est utilisée uniquement avec les étendues de lecture et d’écriture du destinataire.

MyDistributionGroups

Si MyDistributionGroups se trouve dans l’étendue d’écriture du destinataire du rôle, le rôle peut créer ou modifier les objets liste de distribution détenus par l’utilisateur actuel.

Si MyDistributionGroups se trouve dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher les objets liste de distribution détenus par l’utilisateur actuel.

Cette étendue est utilisée uniquement avec les étendues de lecture et d’écriture du destinataire.

OrganizationConfig

Si OrganizationConfig se trouve dans l’étendue d’écriture de configuration du rôle, le rôle peut créer ou modifier tout objet configuration du serveur ou de la base de données au sein de l’organisation Exchange.

Si OrganizationConfig se trouve dans l’étendue de lecture de configuration du rôle, le rôle peut afficher tout objet configuration du serveur ou de la base de données au sein de l’organisation Exchange.

Cette étendue est utilisée uniquement avec les étendues de lecture et d’écriture de configuration.

None

Si None se trouve dans une étendue, cette étendue n’est pas disponible pour le rôle. Par exemple, un rôle ayant None dans l’étendue d’écriture du destinataire ne peut pas modifier les objets destinataire dans l’organisation Exchange.

Si un rôle est attribué à une personne et qu’aucune étendue prédéfinie ou personnalisée n’est spécifiée, les étendues implicites définies sur le rôle sont utilisées pour contrôler les objets destinataire ou organisation que l’utilisateur peut afficher ou modifier.

L’étendue d’écriture implicite d’un rôle est toujours égale à ou inférieure à l’étendue de lecture implicite. Cela signifie qu’un rôle ne peut jamais modifier des objets invisibles par l’étendue.

Vous ne pouvez pas modifier les étendues implicites définies sur les rôles de gestion. Vous pouvez, toutefois, remplacer l’étendue d’écriture implicite et l’étendue de configuration sur un rôle de gestion. Lorsqu’une étendue relative prédéfinie ou une étendue personnalisée est utilisée sur une attribution de rôle, l’étendue d’écriture implicite est remplacée et la nouvelle étendue devient prioritaire. L’étendue de lecture implicite d’un rôle ne peut pas être remplacée et s’applique toujours. Pour plus d’informations, voir Étendues relatives prédéfinies et Étendues personnalisées.

Le tableau suivant répertorie tous les rôles de gestion intégrés et leurs étendues implicites. Pour plus d’informations sur les groupes de rôles intégrés, consultez la rubrique Rôles de gestion intégrés.

 

Rôle de gestion Étendue de lecture du destinataire Étendue d’écriture du destinataire Étendue de lecture de configuration Étendue d’écriture de configuration

Active Directory Permissions

Organization

Organization

OrganizationConfig

OrganizationConfig

Address Lists

Organization

Organization

OrganizationConfig

OrganizationConfig

ApplicationImpersonation

Organization

Organization

None

None

ArchiveApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Audit Logs

Organization

Organization

OrganizationConfig

OrganizationConfig

Cmdlet Extension Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Data Loss Prevention

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Availability Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Copies

Organization

Organization

OrganizationConfig

OrganizationConfig

Databases

Organization

Organization

OrganizationConfig

OrganizationConfig

Disaster Recovery

Organization

Organization

OrganizationConfig

OrganizationConfig

Distribution Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Edge Subscriptions

Organization

Organization

OrganizationConfig

OrganizationConfig

E-Mail Address Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Server Certificates

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Servers

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Virtual Directories

Organization

Organization

OrganizationConfig

OrganizationConfig

Federated Sharing

Organization

Organization

OrganizationConfig

OrganizationConfig

Information Rights Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Journaling

Organization

Organization

OrganizationConfig

OrganizationConfig

Legal Hold

Organization

Organization

OrganizationConfig

None

LegalHoldApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Enabled Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipient Creation

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipients

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Tips

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Import Export

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Search

Organization

Organization

None

None

MailboxSearchApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Message Tracking

Organization

Organization

OrganizationConfig

OrganizationConfig

Migration

Organization

Organization

OrganizationConfig

OrganizationConfig

Monitoring

Organization

Organization

OrganizationConfig

OrganizationConfig

Move Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

OfficeExtensionApplication

Self

Self

OrganizationConfig

OrganizationConfig

My Custom Apps

Self

Self

OrganizationConfig

OrganizationConfig

My Marketplace Apps

Self

Self

OrganizationConfig

OrganizationConfig

MyAddressInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyBaseOptions

Self

Self

OrganizationConfig

OrganizationConfig

MyContactInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyDiagnostics

Self

Self

OrganizationConfig

OrganizationConfig

MyDisplayName

Self

Self

OrganizationConfig

OrganizationConfig

MyDistributionGroupMembership

MyGAL

MyGAL

None

None

MyDistributionGroups

MyGAL

MyDistributionGroups

OrganizationConfig

None

MyMobileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyName

Self

Self

OrganizationConfig

OrganizationConfig

MyPersonalInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyProfileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyRetentionPolicies

Self

Self

OrganizationConfig

OrganizationConfig

MyTeamMailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

MyTextMessaging

Self

Self

OrganizationConfig

OrganizationConfig

MyVoiceMail

Self

Self

OrganizationConfig

OrganizationConfig

Organization Client Access

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Configuration

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Transport Settings

Organization

Organization

OrganizationConfig

OrganizationConfig

POP3 And IMAP4 Protocols

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Receive Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Recipient Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Remote and Accepted Domains

Organization

Organization

OrganizationConfig

OrganizationConfig

Reset Password

Organization

Organization

OrganizationConfig

OrganizationConfig

Retention Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Security Group Creation and Membership

Organization

Organization

OrganizationConfig

OrganizationConfig

Send Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Support Diagnostics

Organization

Organization

OrganizationConfig

OrganizationConfig

TeamMailboxLifecycleApplication

Self

Self

OrganizationConfig

OrganizationConfig

Transport Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Hygiene

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Queues

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Rules

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Prompts

Organization

Organization

OrganizationConfig

OrganizationConfig

Unified Messaging

Organization

Organization

OrganizationConfig

OrganizationConfig

UnScoped Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

UserApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

User Options

Organization

Organization

OrganizationConfig

OrganizationConfig

View-Only Audit Logs

Organization

None

OrganizationConfig

None

View-Only Configuration

Organization

None

OrganizationConfig

None

View-Only Recipients

Organization

None

OrganizationConfig

None

WorkloadManagement

Organization

Organization

OrganizationConfig

OrganizationConfig

Les étendues explicites sont des étendues que vous définissez vous-même pour contrôler les objets qu’un rôle de gestion peut modifier. Alors que les étendues implicites sont définies sur un rôle de gestion, les étendues explicites le sont sur une attribution de rôle de gestion. Ainsi, les étendues implicites sont appliquées systématiquement à tous les rôles de gestion à moins que vous choisissiez d’utiliser une étendue explicite de remplacement. Pour plus d’informations sur les attributions de rôle de gestion, voir Présentation des attributions de rôles de gestion.

Les étendues explicites remplacent les étendues de configuration et d’écriture implicites d’un rôle de gestion. Elles ne remplacent pas l’étendue de lecture implicite d’un rôle de gestion. L’étendue de lecture implicite continue à définir les objets lisibles par le rôle de gestion.

Les étendues explicites sont utiles lorsque l’étendue d’écriture implicite d’un rôle de gestion ne répond pas à vos besoins. Vous pouvez ajouter une étendue explicite pour inclure à peu près tout ce que vous voulez tant que la nouvelle étendue ne dépasse pas les limites de l’étendue de lecture implicite. Les cmdlets faisant partie d’un rôle de gestion doivent pouvoir lire les informations sur les objets ou les conteneurs d’objets pour pouvoir créer ou modifier les objets. Par exemple, si l’étendue de lecture implicite d’un rôle de gestion est définie sur Self, vous ne pouvez pas ajouter une étendue d’écriture explicite Organization, car cette dernière dépasse les limites de la première.

Pour plus d’informations, voir les ressources suivantes :

Exchange 2013 propose plusieurs étendues d’écriture relatives prédéfinies que vous pouvez utiliser pour modifier l’étendue d’un rôle de gestion. Les étendues relatives prédéfinies répondent plus précisément à vos besoins sans avoir à créer manuellement des étendues personnalisées. Elles s’appellent étendues relatives, car elles sont relatives à la personne à laquelle l’attribution de rôle associée est affectée. Par exemple, l’étendue relative prédéfinie Self limite cette étendue d’écriture uniquement à l’utilisateur actuel. L’étendue relative prédéfinie MyDistributionGroups limite l’étendue d’écriture uniquement au groupe de distribution appartenant à l’utilisateur actuel. Les étendues relatives prédéfinies sont uniquement utilisables pour délimiter les objets destinataire. Les étendues relatives prédéfinies ne peuvent pas être utilisées pour délimiter les objets configuration. Le tableau suivant répertorie les étendues relatives prédéfinies que vous pouvez utiliser.

Étendues relatives prédéfinies

Étendues implicites Description

Organization

Si Organization se trouve dans l’étendue d’écriture du destinataire du rôle, le rôle peut créer ou modifier les objets destinataire au sein de l’organisation Exchange.

Si Organization se trouve dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher n’importe quel objet destinataire au sein de l’organisation Exchange.

Cette étendue est utilisée uniquement avec les étendues de lecture et d’écriture du destinataire.

Self

Si Self se trouve dans l’étendue d’écriture du destinataire du rôle, le rôle peut modifier uniquement les propriétés de la boîte aux lettres de l’utilisateur actuel.

Si Self se trouve dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher uniquement les propriétés de la boîte aux lettres de l’utilisateur actuel.

Cette étendue est utilisée uniquement avec les étendues de lecture et d’écriture du destinataire.

MyDistributionGroups

Si MyDistributionGroups se trouve dans l’étendue d’écriture du destinataire du rôle, le rôle peut créer ou modifier les objets liste de distribution détenus par l’utilisateur actuel.

Si MyDistributionGroups se trouve dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher les objets liste de distribution détenus par l’utilisateur actuel.

Cette étendue est utilisée uniquement avec les étendues de lecture et d’écriture du destinataire.

Les étendues relatives prédéfinies sont appliquées lorsque vous créez une nouvelle attribution de rôle de gestion. Lors de la création de l’attribution de rôle, à l’aide de la cmdlet New-ManagementRoleAssignment, vous pouvez spécifier une étendue relative prédéfinie en utilisant le paramètre RecipientRelativeWriteScope. Lorsque la nouvelle attribution de rôle est créée, le nouveau rôle prédéfini remplace l’étendue d’écriture implicite du rôle de gestion. Vous ne pouvez pas spécifier une étendue de destinataire personnalisée lorsque vous créez une attribution de rôle avec une étendue relative prédéfinie. En revanche, vous pouvez spécifier une étendue de configuration personnalisée, si nécessaire.

Pour plus d’informations sur l’ajout d’une attribution de rôle de gestion à une étendue relative prédéfinie, voir Ajouter un rôle à un utilisateur ou un groupe de sécurité universel.

Les étendues personnalisées sont nécessaires lorsque ni l’étendue d’écriture implicite ni l’étendue relative prédéfinie ne répondent pas à vos besoins. Les étendues personnalisées permettent de définir plus précisément l’étendue à laquelle le rôle de gestion sera appliqué. Par exemple, vous voudrez peut-être cibler une unité d’organisation spécifique, un type de destinataire particulier ou les deux. Ou vous pourriez vouloir seulement permettre à un groupe d’administrateurs de gérer un ensemble spécifique de bases de données de boîtes aux lettres.

Comme pour les étendues relatives prédéfinies, les étendues personnalisées remplacent les étendues de configuration d’organisation et d’écriture implicite définies sur les rôles de gestion. L’étendue de lecture implicite sur les rôles de gestion continue à s’appliquer et l’étendue personnalisée obtenue ne doit pas dépasser les limites de l’étendue de lecture implicite. Vous pouvez créer les trois types d’étendue personnalisée suivants :

  • Étendue d’organisation   Cette étendue personnalisée la plus simple est créée à l’aide du paramètre RecipientOrganizationalUnitScope sur la cmdlet New-ManagementRoleAssignment. En spécifiant une étendue d’unité d’organisation lorsqu’un rôle est attribué, l’utilisateur auquel le rôle est attribué peut modifier uniquement les objets destinataire contenus dans cette unité d’organisation. Pour plus d’informations sur l’ajout d’une attribution de rôle de gestion à une étendue d’unité d’organisation, voir Ajouter un rôle à un utilisateur ou un groupe de sécurité universel.

  • Étendue filtrée de destinataire   Les étendues filtrées de destinataire utilisent des filtres permettant de cibler des destinataires en particulier selon leur type ou d’autres propriétés telles que le service, le responsable, le lieu, entre autres. Pour plus d’informations, consultez la rubrique Étendues filtrées de destinataire.

  • Étendue de configuration   Les étendues de configuration utilisent des filtres permettant de cibler des serveurs spécifiques en fonction de listes de serveurs ou de propriétés filtrables définissables sur les serveurs, telles qu’un site Active Directory ou un rôle serveur.  Les étendues de configuration peuvent également utiliser les étendues de base de données pour cibler des bases de données spécifiques en fonction de listes de bases de données ou de propriétés filtrables. Pour plus d’informations, consultez la rubrique Étendues de configuration.

Des étendues personnalisées de destinataire et de configuration, soit simples et vastes, soit complexes et précises, peuvent être créées à l’aide de la cmdlet New-ManagementScope. Lorsque vous créez une étendue de destinataire ou de configuration, seuls les objets destinataire, serveur ou base de données répondant à leurs étendues respectives sont renvoyés. Lorsque ces étendues sont appliquées à une attribution de rôle à l’aide de la cmdlet New-ManagementRoleAssignment ou Set-ManagementRoleAssignment, seuls les objets répondant aux étendues peuvent être modifiés par les personnes auxquelles est attribué le rôle. Une fois l’étendue personnalisée créée, vous ne pouvez pas changer le type d’étendue. Une étendue de destinataire est toujours une étendue de destinataire et une étendue de configuration est toujours une étendue de configuration.

Par défaut, une étendue personnalisée permet à une personne attribuée au rôle d’accéder à un ensemble d’objets qui répondent aux étendues définies. Toutefois, l’accès aux autres personnes attribuées au rôle auxquelles n’est pas attribuée également l’étendue identique ou équivalente n’est pas activement exclu. Toute étendue personnalisée peut accéder aux mêmes objets si les listes ou filtres de ces étendues correspondent aux mêmes objets. Pour certains objets, ce comportement n’est pas souhaité, par exemple, pour le personnel d’encadrement. Pour ces objets, vous pouvez définir des étendues exclusives. Les étendues exclusives utilisent les filtres ou listes de la même façon que les étendues normales, sauf qu’elles refusent l’accès aux objets inclus dans l’étendue à quiconque ne fait pas partie de l’étendue exclusive identique ou équivalente. Pour plus d’informations sur les étendues exclusives, voir Présentation des étendues exclusives.

Les étendues filtrées de destinataire vous permettent de contrôler quels objets destinataire peuvent être gérés par les personnes auquel le rôle est attribué en évaluant une ou plusieurs propriétés d’un objet destinataire par rapport à une valeur que vous définissez dans une instruction de filtrage. Les destinataires inclus dans des étendues de destinataire sont des boîtes aux lettres, des utilisateurs à extension messagerie, des groupes de distribution et des contacts de messagerie. Seuls les destinataires correspondant au filtre spécifié peuvent être gérés par les personnes auxquelles est attribué ce rôle. Un exemple d’instruction de filtrage est { Name -Eq "David" }Name est la propriété de l’objet destinataire en cours d’évaluation et où David est la valeur que vous utilisez pour l’évaluer. L’opérateur de comparaison -Eq indique que la valeur enregistrée dans la propriété doit être égale à la valeur spécifiée pour le filtre comme étant de type true. Si le filtre a la valeur true, le destinataire est inclus dans l’étendue.

Les étendues filtrées de destinataire sont créées en spécifiant le filtre destinataire à utiliser avec le paramètre RecipientRestrictionFilter sur la cmdlet New-ManagementScope. Par défaut, la cmdlet New-ManagementScope crée des étendues normales. Pour créer une étendue exclusive, intégrez le commutateur Exclusive au paramètre RecipientRestrictionFilter.

Lorsque vous créez un filtre de restriction destinataire, Exchange évalue le filtre fourni par rapport à chaque objet destinataire.de l’organisation par défaut. Pour limiter les destinataires qui seront évalués par l’étendue, vous pouvez utiliser le paramètre RecipientRoot en association avec le paramètre RecipientRestrictionFilter. Le paramètre RecipientRoot accepte une unité d’organisation. Lorsque vous utilisez le paramètre RecipientRoot, Exchange évalue uniquement les destinataires inclus dans l’unité d’organisation spécifiée par rapport au filtre que vous avez fourni.

Lorsque vous ajoutez une étendue filtrée de destinataire à une attribution de rôle, spécifiez le nom de l’étendue de destinataire dans le paramètre CustomRecipientWriteScope sur la cmdlet New-ManagementRoleAssignment si vous créez une nouvelle attribution de rôle ou sur la cmdlet Set-ManagementRoleAssignment si vous mettez à jour une attribution de rôle existante. Chaque attribution de rôle peut avoir une étendue de destinataire, y compris les étendues relatives prédéfinies. Vous pouvez ajouter une étendue de configuration à la même attribution de rôle à laquelle vous avez ajouté une étendue de destinataire.

Pour plus d’informations sur la syntaxe du filtre et pour obtenir la liste complète des propriétés filtrables des destinataires, voir Présentation des filtres d’attribution du rôle de gestion.

Les éléments suivants sont les deux types d’étendues de configuration proposées dans Exchange 2013 :

  • Étendues de serveur   Il existe deux types d’étendue de serveur : étendue filtrée de serveur et étendue de liste de serveurs. Si un objet serveur est inclus dans une étendue de serveur, il est possible de gérer la configuration d’un serveur comprenant des connecteurs de réception, des files d’attente de transport, des certificats de serveur, des répertoires virtuels, etc.

    • Étendues filtrées de serveur   Les étendues filtrées de serveur vous permettent de contrôler quels objets serveur peuvent être gérés par les personnes auxquelles le rôle est attribué en évaluant une ou plusieurs propriétés d’un objet serveur par rapport à une valeur que vous définissez dans une instruction de filtrage. Pour créer une étendue filtrée de serveur, utilisez le paramètre ServerRestrictionFilter sur la cmdlet New-ManagementScope.

    • Étendues de liste de serveurs   Les étendues de liste de serveurs vous permettent de contrôler quels objets serveur peuvent être gérés par les personnes auxquelles le rôle est attribué en définissant une liste de serveurs accessible par une personne à laquelle le rôle a été attribué. Pour créer une étendue de liste de serveurs, utilisez le paramètre ServerList sur la cmdlet New-ManagementScope.

  • Étendues de base de données   Il existe deux types d’étendue de base de données : étendue filtrée de base de données et étendue de liste de bases de données. Il est possible de gérer configuration de base de données si un objet base de données est inclus dans une étendue de base de données comprenant des limites de quota de base de données, la maintenance de la base de données, la réplication des dossiers publics, le montage ou non d’une base de données, etc. Outre la configuration de bases de données, les étendues de base de données peuvent aussi servir à contrôler les bases de données dans lesquelles des destinataires peuvent être créés. Si vous avez des serveurs antérieurs à Exchange 2010 SP1 dans votre organisation, consultez la section Les étendues de base de données et les versions antérieures d’Exchange plus loin dans cette rubrique.

    • Étendues filtrées de base de données   Les étendues filtrées de base de données vous permettent de contrôler quels objets base de données peuvent être gérés par les personnes auxquelles le rôle est attribué en évaluant une ou plusieurs propriétés d’un objet base de données par rapport à une valeur que vous définissez dans une instruction de filtrage. Pour créer une étendue filtrée de base de données, utilisez le paramètre DatabaseRestrictionFilter sur la cmdlet New-ManagementScope.

    • Étendues de liste de bases de données   Les étendues de liste de bases de données vous permettent de contrôler quels objets base de données peuvent être gérés par les personnes auxquelles le rôle est attribué en définissant une liste de bases de données accessible par une personne à laquelle le rôle a été attribué. Pour créer une étendue de liste des bases de données, utilisez le paramètre DatabaseList sur la cmdlet New-ManagementScope.

Pour plus d’informations sur la syntaxe du filtre et pour obtenir la liste complète des propriétés filtrables des serveurs et des bases de données, voir Présentation des filtres d’attribution du rôle de gestion.

Les listes de serveurs et de bases de données peuvent être définies en spécifiant chaque serveur et base de données que vous voulez inclure dans leurs étendues respectives. Plusieurs serveurs ou bases de données peuvent être spécifiés dans leurs étendues respectives en séparant les noms de serveur et de base de données par des virgules.

Lorsque vous ajoutez une étendue de configuration de serveur ou de base de données à une attribution de rôle, spécifiez le nom de l’étendue correspondante dans le paramètre CustomConfigWriteScope sur la cmdlet New-ManagementRoleAssignment si vous créez une nouvelle attribution de rôle ou sur la cmdlet Set-ManagementRoleAssignment si vous mettez à jour une attribution de rôle existante. Chaque attribution de rôle ne peut avoir qu’une seule étendue de configuration.

Outre le fait de contrôler quelles bases de données peuvent être gérées par les personnes auxquelles le rôle est attribué, les étendues de base de données vous permettent également de contrôler dans quelles bases de données les personnes auxquelles est attribué le rôle peuvent créer des boîtes aux lettres. C’est une fonctionnalité distincte de celle de contrôler quels destinataires peuvent être gérés par une personne à laquelle le rôle a été attribué. Si la personne à laquelle le rôle a été attribué dispose des autorisations de création d’une nouvelle boîte aux lettres, d’étendre la messagerie à un utilisateur existant ou de déplacer des boîtes aux lettres, vous pouvez alors affiner encore ces autorisations à l’aide des étendues de base de données pour contrôler la base de données dans laquelle la boîte aux lettres est créée ou dans quelle base de données une boîte aux lettres est déplacée. Le contrôle des destinataires pouvant être gérés par une personne à laquelle le rôle a été attribué est opéré avec une étendue de destinataire qui est spécifiée dans le paramètre CustomRecipientWriteScope sur la cmdlet New-ManagementRoleAssignment ou Set-ManagementRoleAssignment. Pour contrôler dans quelles bases de données une boîte aux lettres peut être créée ou déplacée, il faut utiliser une étendue de base de données spécifiée dans le paramètre CustomConfigurationWriteScope sur les mêmes cmdlets.

RemarqueRemarque :
La distribution automatique des boîtes aux lettres peut être contrôlée à l’aide des étendues de base de données.

La gestion des fonctionnalités d’Exchange peut exiger des étendues de serveur ou de base de données, ou les deux types d’étendue. Si la gestion d’une fonctionnalité requiert à la fois des étendues de serveur et de base de données, deux attributions de rôle doivent être créées et dévolues à la personne à laquelle le rôle est attribué et possédant l’accès à la gestion de la fonctionnalité. Une attribution de rôle doit être associée à l’étendue de serveur et l’autre attribution de rôle à l’étendue de base de données.

Certaines cmdlets peuvent utiliser les étendues de configuration qui ne sont pas immédiatement évidentes. Le tableau suivant inclut une liste de cmdlets et d’étendues de configuration que vous pouvez utiliser pour contrôler leur utilisation. Pour les cmdlets incluses dans les fonctionnalités spécifiques, les étendues de configuration vous permettent de contrôler dans quelles bases de données les destinataires peuvent être créés. Elles ne contrôlent pas quels destinataires peuvent être gérés. La colonne Étendues requises peut contenir les éléments suivants :

  • Base de données   Pour exécuter la cmdlet, soit la personne à laquelle le rôle est attribué doit avoir une attribution de rôle associée à une étendue de base de données qui inclut la base à gérer, soit l’étendue implicite d’écriture de configuration implicite doit inclure la base de données à gérer.

  • Serveur   Pour exécuter la cmdlet, soit la personne à laquelle le rôle est attribué doit avoir une attribution de rôle associée à une étendue de serveur qui inclut le serveur à gérer, soit l’étendue implicite d’écriture de configuration implicite doit inclure le serveur à gérer.

  • Serveur ou base de données   Pour exécuter la cmdlet, la personne à laquelle le rôle est attribué doit avoir une attribution de rôle associée soit à une étendue de base de données incluant à la base à gérer, soit à une étendue de serveur incluant le serveur dans lequel se trouve la base de données. Sinon, l’étendue implicite de configuration de rôle doit contenir la base à gérer ou contenir le serveur dans lequel se trouve la base de données et l’attribution de rôle ne peut pas avoir d’étendue d’écriture personnalisée.

  • Serveur et base de données   Pour exécuter cette commande, deux attributions de rôle doivent être conférées à la personne concernée. La première attribution de rôle doit inclure une étendue de base de données qui inclut la base à gérer. La deuxième attribution de rôle doit inclure une étendue de serveur qui inclut le serveur dans lequel se trouve la base de données. Des étendues de configuration personnalisées peuvent avoir été définies pour les attributions de rôle ou ces dernières peuvent hériter d’une étendue implicite d’écriture de configuration par l’intermédiaire du rôle. Pour hériter de l’étendue implicite d’écriture du rôle, l’attribution de rôle ne doit pas avoir d’étendue d’écriture personnalisée.

Fonctionnalités et étendues de base de données et serveur applicables

Fonctionnalités Cmdlet Étendues requises

Bases de données

Dismount-Database

Base de données

Bases de données

Mount-Database

Base de données

Bases de données

Move-DatabasePath

Serveur et base de données

Bases de données

Remove-MailboxDatabase

Serveur ou base de données

Bases de données

Set-MailboxDatabase

Base de données

Haute disponibilité

Add-DatabaseAvailabilityGroupServer

Serveur

Disponibilité élevée

Add-MailboxDatabaseCopy

Serveur

Disponibilité élevée

Move-ActiveMailboxDatabase

Serveur

Disponibilité élevée

Remove-DatabaseAvailabilityGroupServer

Serveur

Disponibilité élevée

Remove-MailboxDatabaseCopy

Serveur ou base de données

Disponibilité élevée

Resume-MailboxDatabaseCopy

Serveur ou base de données

Disponibilité élevée

Set-MailboxDatabaseCopy

Serveur ou base de données

Disponibilité élevée

Suspend-MailboxDatabaseCopy

Serveur ou base de données

Disponibilité élevée

Update-MailboxDatabaseCopy

Serveur ou base de données

Destinataires

Connect-Mailbox

Base de données

Destinataires

Enable-Mailbox

Base de données

Destinataires

New-Mailbox

Base de données

Destinataires

New-MoveRequest

Base de données

Résolution des problèmes

Test-MapiConnectivity

Base de données

Le concept des étendues de base de données a été introduit pour la première fois dans Microsoft Exchange 2010 Service Pack 1 (SP1) et continue d’être pris en charge dans Exchange 2013. Les versions d’Exchange antérieures à Exchange 2010 SP1 prennent en charge uniquement les étendues de destinataire et les étendues de configuration de serveur. Si vous créez une nouvelle étendue de base de données sur un serveur Exchange 2010 SP1 ou ultérieur, vous recevrez l’avertissement suivant :

WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.

Lorsque vous créez une étendue de base de données, elle s’applique uniquement aux utilisateurs se connectant à des serveurs exécutant Exchange 2010 SP1 ou ultérieur. Les utilisateurs qui se connectent à des serveurs exécutant des versions antérieures à Exchange 2010 SP1 ne disposeront d’aucune attribution de rôle associée à des étendues de base de données qui leur sont appliquées. Cela signifie que les autorisations délivrées par ces attributions de rôle ne seront pas accordées aux utilisateurs se connectant à des serveurs exécutant des versions antérieures à Exchange 2010 SP1. Les étendues de base de données ne peuvent pas être créées, supprimées, modifiées ni consultées depuis des serveurs exécutant des versions antérieures à Exchange 2010 SP1.

Une étendue de base de données peut inclure n’importe quelle base de données de votre organisation Exchange. Ceci comprend des serveurs Exchange Server 2007, Exchange 2010 et Exchange 2013. Ceci vous permet de contrôler quelles bases de données peuvent être gérées par les utilisateurs, quelle que soit la version d’ Exchange. Comme pour d’autres étendues de base de données, les attributions de rôles associées à des étendues contenant des bases de données Exchange 2007 et Exchange 2010 s’appliquent uniquement aux utilisateurs se connectant à un serveur Exchange 2010 SP1 ou ultérieur.

Les utilisateurs se connectant à un serveur dont la version est antérieure à Exchange 2010 SP1 peuvent afficher et modifier les attributions de rôles associées aux étendues de base de données. Cela inclut le changement de l’étendue de configuration sur une attribution de rôle existante en une étendue de serveur si celle-ci est alors associée à une étendue de base de données. Cependant, si l’étendue de configuration sur une attribution de rôle est modifiée en étendue de serveur et si un utilisateur veut ultérieurement revenir à une étendue de base de données, ou encore passer d’une étendue de configuration à une autre étendue de base de données, cet utilisateur doit effectuer le changement lorsqu’il est connecté à un serveur Exchange 2010 SP1 ou ultérieur. Les utilisateurs ne peuvent spécifier des étendues de serveur que lorsqu’ils modifient l’étendue de configuration sur une attribution de rôle en étant connectés à un serveur dont la version est antérieure à Exchange 2010 SP1.

 
Afficher: