New-ManagementRoleAssignment

 

S’applique à :Exchange Online, Exchange Server 2016

Dernière rubrique modifiée :2017-03-30

Cette cmdlet est disponible dans Exchange Server 2016 sur site et dans le service en nuage. Certains paramètres peuvent être propres à un environnement ou à un autre.

La cmdlet New-ManagementRoleAssignment permet d’attribuer un rôle de gestion à un groupe de rôles de gestion, à une stratégie d’attribution des rôles de gestion, à un utilisateur ou à un groupe de sécurité universel (USG).

Pour plus d'informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir SyntaxeSyntaxe de cmdlet Exchange.

New-ManagementRoleAssignment -User <UserIdParameter> [-Delegating <SwitchParameter>] <COMMON PARAMETERS>

New-ManagementRoleAssignment -SecurityGroup <SecurityGroupIdParameter> [-Delegating <SwitchParameter>] <COMMON PARAMETERS>

New-ManagementRoleAssignment -Policy <MailboxPolicyIdParameter> <COMMON PARAMETERS>

New-ManagementRoleAssignment -Computer <ComputerIdParameter> <COMMON PARAMETERS>

COMMON PARAMETERS: -Role <RoleIdParameter> [-Confirm [<SwitchParameter>]] [-CustomConfigWriteScope <ManagementScopeIdParameter>] [-CustomRecipientWriteScope <ManagementScopeIdParameter>] [-DomainController <Fqdn>] [-ExclusiveConfigWriteScope <ManagementScopeIdParameter>] [-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>] [-Force <SwitchParameter>] [-Name <String>] [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>] [-RecipientRelativeWriteScope <None | NotApplicable | Organization | MyGAL | Self | MyDirectReports | OU | CustomRecipientScope | MyDistributionGroups | MyExecutive | ExclusiveRecipientScope | MailboxICanDelegate>] [-UnScopedTopLevel <SwitchParameter>] [-WhatIf [<SwitchParameter>]]

Cet exemple attribue le rôle Destinataires de courrier au groupe de rôles Assistance niveau 2.

New-ManagementRoleAssignment -Role "Mail Recipients" -SecurityGroup "Tier 2 Help Desk"

Cet exemple attribue le rôle MaMessagerieVocale à la stratégie d’attribution du rôle Ventes aux utilisateurs finaux. Tout d’abord, la propriété IsEndUserRole du rôle MaMessagerieVocale est vérifiée pour garantir qu’elle est définie sur $true, en indiquant qu’il s’agit d’un rôle de l’utilisateur final :

Get-ManagementRole "MyVoiceMail" | Format-Table Name, IsEndUserRole

Une fois qu’il a été vérifié qu’il s’agit bien d’un rôle de l’utilisateur final, le rôle est attribué à la stratégie d’attribution du rôle Vente aux utilisateurs finaux.

New-ManagementRoleAssignment -Role "MyVoiceMail" -Policy "Sales end-users"

Cet exemple attribue le rôle Assistance Eng au groupe de rôles Personnel Eng HD. L’attribution limite la portée d’écriture du destinataire du rôle à l’OU contoso.com/Engineering/Users. Les utilisateurs qui sont membres du groupe de rôles Eng HD Personnel peuvent uniquement créer, modifier ou supprimer des objets contenus avec cette unité d’organisation.

New-ManagementRoleAssignment -Role "Eng Help Desk" -SecurityGroup "Eng HD Personnel" -RecipientOrganizationalUnitScope contoso.com/Engineering/Users

Cet exemple attribue le rôle Groupes de distribution au groupe de rôles Amérique du Nord Assistants Exec. L’attribution limite la portée d’écriture du destinataire du rôle à la portée spécifiée dans la portée de gestion des destinataires personnalisée Destinataires Amérique du Nord. Les utilisateurs membres du groupe de rôle Assistants Exec Amérique du Nord peuvent uniquement créer, modifier ou supprimer des objets groupe de distribution qui correspondent à la portée spécifiée de gestion des destinataires personnalisée.

New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup "North America Exec Assistants" -CustomRecipientWriteScope "North America Recipients"

Cet exemple attribue le rôle de serveurs Exchange à John. Étant donné que John doit gérer uniquement les serveurs exécutant Exchange situés à Sydney, l’attribution de rôle limite la portée d’écriture de la configuration du rôle à l’étendue spécifiée dans le groupe de rôles de configuration personnalisé Serveurs Sydney. John peut gérer uniquement les serveurs qui correspondent à la portée spécifiée de gestion de configuration personnalisée.

New-ManagementRoleAssignment -Name "Exchange Servers_John" -Role "Exchange Servers" -User John -CustomConfigWriteScope "Sydney Servers"

Cet exemple attribue le rôle Destinataires de courrier au groupe de rôles Administrateurs de direction. L’attribution limite la portée d’écriture du destinataire du rôle à la portée spécifiée dans la portée de gestion des destinataires exclusive Destinataires Direction exclusive. Étant donné que la portée Destinataires Direction exclusive est une portée exclusive, seuls les utilisateurs du groupe Administrateurs de direction peuvent gérer les destinataires de la direction qui correspondent à la portée de destinataires exclusive. Aucun autre utilisateur, sauf s’ils ont également reçu une attribution qui fait appel à une portée exclusive correspondant aux mêmes utilisateurs, ne peut modifier les destinataires de la direction.

New-ManagementRoleAssignment -Name "Excl-Mail Recipients_Executive Administrators" -Role "Mail Recipients" -SecurityGroup "Executive Administrators" -ExclusiveRecipientWriteScope "Exclusive-Executive Recipients"

Cet exemple attribue le rôle Destinataires de courrier au groupe de rôles Filiale Contoso - Seattle. Les administrateurs de ce groupe de rôles doivent uniquement être autorisés à créer et gérer des destinataires de courrier dans des bases de données spécifiques allouées à la filiale Contoso, A. Datum Corporation (adatum.com). Par ailleurs, ce groupe d’administrateurs ne doit être autorisé à gérer que les employés Contoso basés à Seattle. Pour ce faire, il convient de créer une attribution de rôle avec une portée de base de données afin de limiter la gestion des destinataires de courrier aux bases de données comprises dans la portée, ainsi qu’une portée de destinataires OU afin de limiter l’accès aux objets destinataire compris dans l’unité d’organisation Contoso Seattle.

New-ManagementRoleAssignment -Name "Mail Recipients_Contoso Seattle" -Role "Mail Recipients" -SecurityGroup "Contoso Sub - Seattle" -CustomConfigWriteScope "Contoso Databases" -RecipientOrganizationalUnitScope adatum.com/Contoso/Seattle/Users 

Lorsque vous ajoutez une nouvelle attribution de rôle, vous pouvez spécifier un rôle prédéfini ou personnalisé qui a été créé à l’aide de la cmdlet New-ManagementRole et spécifier une unité d’organisation (UO) ou une portée de gestion prédéfinie ou personnalisée pour limiter l’attribution.

Vous pouvez créer des étendues de gestion personnalisées au moyen de la cmdlet New-ManagementScope et afficher une liste des étendues existantes à l’aide de la cmdlet Get-ManagementScope. Si vous choisissez de ne pas spécifier d’OU, de portée prédéfinie ou personnalisée, la portée d’écriture implicite du rôle s’applique à l’attribution du rôle.

Pour plus d’informations sur les attributions des rôles de gestion, consultez la rubrique Présentation des attributions de rôles de gestion.

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que tous les paramètres de cette cmdlet soient répertoriés dans cette rubrique, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Attribution des rôles » dans la rubrique Autorisations pour la gestion des rôles.

 

Paramètre Obligatoire Type Description

Computer

Obligatoire

Microsoft.Exchange.Configuration.Tasks.ComputerIdParameter

Ce paramètre est disponible uniquement dans Exchange 2016 sur site.

Le paramètre Computer spécifie le nom de l’ordinateur auquel attribuer le rôle de gestion.

Si vous spécifiez le paramètre Computer, vous ne pouvez pas utiliser le paramètre SecurityGroup, User ou Policy.

Policy

Obligatoire

Microsoft.Exchange.Configuration.Tasks.MailboxPolicyIdParameter

Le paramètre Policy spécifie le nom de la stratégie d’attribution des rôles de gestion à laquelle attribuer le rôle de gestion.

La propriété IsEndUserRole du rôle que vous spécifiez à l’aide du paramètre Role doit être définie sur $true.

Si vous spécifiez le paramètre Policy, vous ne pouvez pas utiliser le paramètre SecurityGroup, Computer ou User. Si le nom de la stratégie contient des espaces, mettez-le entre guillemets (« »).

Role

Obligatoire

Microsoft.Exchange.Configuration.Tasks.RoleIdParameter

Le paramètre Role spécifie le rôle existant à attribuer. Si le nom de rôle contient des espaces, mettez-le entre guillemets (« »).

SecurityGroup

Obligatoire

Microsoft.Exchange.Configuration.Tasks.SecurityGroupIdParameter

Le paramètre SecurityGroup spécifie le nom du groupe de rôles de gestion ou du groupe de sécurité universel (USG) auquel attribuer le rôle de gestion.

Si vous spécifiez le paramètre SecurityGroup, vous ne pouvez pas utiliser le paramètre Policy, Computer ou User. Si le nom du groupe de rôles ou du groupe universel de sécurité contient des espaces, mettez-le entre guillemets (« »).

User

Obligatoire

Microsoft.Exchange.Configuration.Tasks.UserIdParameter

Le paramètre User spécifie le nom ou l’alias de l’utilisateur auquel attribuer le rôle de gestion.

Si vous spécifiez le paramètre User, vous ne pouvez pas utiliser le paramètre SecurityGroup, Computer ou Policy. Si la valeur contient des espaces, mettez le nom entre guillemets (« »).

Confirm

Facultatif

System.Management.Automation.SwitchParameter

Le commutateur Confirm spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.

  • Les cmdlets destructives (par exemple, les cmdlets Remove-*) ont une pause intégrée qui vous oblige à confirmer la commande avant de poursuivre. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte : -Confirm:$false.

  • La plupart des autres cmdlets (par exemple, les cmdlets New-* et Set-*) n’ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.

CustomConfigWriteScope

Facultatif

Microsoft.Exchange.Configuration.Tasks.ManagementScopeIdParameter

Ce paramètre est disponible uniquement dans Exchange 2016 sur site.

Le paramètre CustomConfigWriteScope spécifie la portée de la configuration existante à associer à cette attribution de rôle de gestion. Si vous utilisez le paramètre CustomConfigWriteScope, vous ne pouvez pas utiliser le paramètre ExclusiveConfigWriteScope. Si le nom de l’étendue de gestion contient des espaces, mettez le nom entre guillemets (« »).

CustomRecipientWriteScope

Facultatif

Microsoft.Exchange.Configuration.Tasks.ManagementScopeIdParameter

Le paramètre CustomRecipientWriteScope spécifie l’étendue de gestion de destinataire à associer à cette attribution de rôle de gestion. Si le nom de l’étendue de gestion contient des espaces, mettez le nom entre guillemets (« »). Si vous utilisez le paramètre CustomRecipientWriteScope, vous ne pouvez pas utiliser les paramètres RecipientOrganizationalUnitScope et ExclusiveRecipientWriteScope.

Delegating

Facultatif

System.Management.Automation.SwitchParameter

Le paramètre Delegating spécifie si l’utilisateur ou le groupe de sécurité universel affecté au rôle peut déléguer le rôle à d’autres utilisateurs ou groupes. Il n’est pas nécessaire de spécifier une valeur pour le paramètre Delegating.

DomainController

Facultatif

Microsoft.Exchange.Data.Fqdn

Ce paramètre est disponible uniquement dans Exchange 2016 sur site.

Le paramètre DomainController spécifie le contrôleur de domaine qui est utilisé par cette cmdlet pour lire ou écrire les données dans Active Directory. Vous identifiez le contrôleur de domaine par son nom de domaine complet (FQDN). Par exemple : dc01.contoso.com.

ExclusiveConfigWriteScope

Facultatif

Microsoft.Exchange.Configuration.Tasks.ManagementScopeIdParameter

Ce paramètre est disponible uniquement dans Exchange 2016 sur site.

Le paramètre ExclusiveConfigWriteScope spécifie la portée de gestion de la configuration exclusive à associer à la nouvelle attribution de rôle. Si vous utilisez le paramètre ExclusiveConfigWriteScope, vous ne pouvez pas utiliser le paramètre CustomConfigWriteScope. Si le nom de l’étendue contient des espaces, mettez-le entre guillemets (").

ExclusiveRecipientWriteScope

Facultatif

Microsoft.Exchange.Configuration.Tasks.ManagementScopeIdParameter

Le paramètre ExclusiveRecipientWriteScope spécifie la portée de gestion des destinataires exclusive à associer à la nouvelle attribution de rôle. Si vous utilisez le paramètre ExclusiveRecipientWriteScope, vous ne pouvez pas utiliser les paramètres CustomRecipientWriteScope et RecipientOrganizationalUnitScope. Si le nom de l’étendue contient des espaces, mettez-le entre guillemets (").

Force

Facultatif

System.Management.Automation.SwitchParameter

Le commutateur Force spécifie s’il faut supprimer les messages d’avertissement ou de confirmation. Vous pouvez utiliser ce commutateur pour exécuter des tâches par programme, lorsqu’une intervention administrative est inappropriée. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

Name

Facultatif

System.String

Le paramètre Name spécifie un nom pour la nouvelle attribution de rôle de gestion. La longueur maximale du nom est 64 caractères. Si le nom de l’attribution du rôle de gestion contient des espaces, insérez-le entre guillemets (« »). Si vous ne spécifiez pas de nom, il en sera créé un automatiquement.

RecipientOrganizationalUnitScope

Facultatif

Microsoft.Exchange.Configuration.Tasks.OrganizationalUnitIdParameter

Le paramètre RecipientOrganizationalUnitScope spécifie l’unité d’organisation sur laquelle la nouvelle attribution de rôle doit porter. Si vous utilisez le paramètre RecipientOrganizationalUnitScope, vous ne pouvez pas utiliser les paramètres CustomRecipientWriteScope et ExclusiveRecipientWriteScope. Pour spécifier une unité d’organisation, utilisez la syntaxe suivante : domaine/unité d’organisation. Si le nom de l’unité d’organisation contient des espaces, mettez le domaine et l’unité d’organisation entre guillemets (").

RecipientRelativeWriteScope

Facultatif

Microsoft.Exchange.Data.RecipientWriteScopeType

Le paramètre RecipientRelativeWriteScope spécifie le type de restriction à appliquer à l’étendue d’un destinataire. Les types disponibles sont None, Organization, MyGAL, Self et MyDistributionGroups. Le paramètre RecipientRelativeWriteScope est automatiquement défini lorsque les paramètres CustomRecipientWriteScope ou RecipientOrganizationalUnitScope sont utilisés.

noteRemarque :
Même si les valeurs NotApplicable, OU, MyDirectReports, CustomRecipientScope, MyExecutive, MailboxICanDelegate et ExclusiveRecipientScope s’affichent dans le bloc de syntaxe de ce paramètre, elles ne peuvent pas être utilisées directement sur la ligne de commande. Ils sont utilisés en interne par la cmdlet.

UnScopedTopLevel

Facultatif

System.Management.Automation.SwitchParameter

Le commutateur UnScopedTopLevel spécifie que le rôle fourni avec le paramètre Role est un rôle de gestion de niveau supérieur inattendu. Vous pouvez uniquement créer une attribution de rôle à l’aide du commutateur UnScopedTopLevel si le rôle spécifié à l’aide du paramètre Role est un rôle de niveau supérieur inattendu.

WhatIf

Facultatif

System.Management.Automation.SwitchParameter

Le commutateur WhatIf simule les actions de la commande. Vous pouvez utiliser ce commutateur pour afficher les modifications qui se produiraient sans réellement appliquer ces modifications. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

Pour visualiser les types d’entrées acceptés par cette cmdlet, consultez la rubrique Types d’entrée et de sortie de la cmdlet d’Exchange Management Shell. Si le champ Type d’entrée pour une cmdlet est vide, la cmdlet n’accepte pas les données d’entrée.

Pour visualiser les types de retours, également appelés types de sorties, acceptés par cette cmdlet, consultez la rubrique Types d’entrée et de sortie de la cmdlet d’Exchange Management Shell. Si le champ Type de sortie est vide, la cmdlet ne renvoie pas de données.

 
Afficher: