Ajouter un rôle à un utilisateur ou un groupe de sécurité universel

S'applique à : Exchange Server 2010

Dernière rubrique modifiée : 2009-09-21

L'attribution de rôles de gestion permet d'attribuer un rôle de gestion à un utilisateur ou à un groupe de sécurité universel. En attribuant un rôle à un utilisateur ou à un groupe de sécurité universel, vous autorisez ces utilisateurs à effectuer des tâches qui dépendent de cmdlets ou de scripts et permettez à leurs paramètres d'être définis sur le rôle de gestion.

Même si vous pouvez attribuer des rôles directement aux utilisateurs et aux groupes de sécurité universels, la méthode recommandée pour accorder des autorisations aux administrateurs et aux utilisateurs finaux est d'utiliser les groupes de rôles de gestion et les stratégies d'attribution de rôle de gestion. Lorsque vous utilisez des groupes de rôles et des stratégies d'attribution, vous simplifiez considérablement le modèle d'autorisations.

Pour attribuer des rôles à un groupe de rôles de gestion ou à une stratégie d'attribution de rôles de gestion, voir les rubriques suivantes :

• Ajouter un rôle à un groupe de rôles
• Ajouter un rôle à une stratégie d’attribution

Pour ajouter des membres à un groupe de rôles ou affecter une stratégie d'attribution de rôle à un utilisateur final, voir les rubriques suivantes :

• Ajouter des membres un groupe de rôles
• Modifier la stratégie d’attribution sur une boîte aux lettres

Pour plus d'informations, voir Présentation du contrôle d'accès basé sur un rôle.

Remarque :

Les attributions de rôle sont cumulables. Cela signifie que tous les rôles sont ajoutés lors de leur évaluation. Si deux rôles sont attribués à un utilisateur mais qu'un seul contient une cmdlet, celle-ci sera continuera à être disponible pour l'utilisateur. Par défaut, les attributions de rôle n'offrent pas la possibilité d'attribuer des rôles aux autres utilisateurs. Pour permettre à un utilisateur d'attribuer des rôles à d'autres utilisateurs ou à des groupes de sécurité universels, voir Déléguer les attributions de rôles.

Vous devez utiliser l'environnement de ligne de commande Exchange Management Shell pour ajouter une attribution de rôle.

Que voulez-vous faire ?

• Créer une attribution de rôle sans étendue
• Créer une attribution de rôle avec une étendue relative prédéfinie
• Créer une attribution de rôle avec une étendue basée sur le filtre destinataire
• Créer une attribution de rôle avec un filtre de serveur ou une étendue de configuration basée sur une liste
• Créer une attribution de rôle avec une étendue d'unité d'organisation
• Créer une attribution de rôle avec une étendue de destinataire ou de configuration exclusive

Si vous créez une nouvelle attribution avec une étendue, celle-ci écrase la portée d'écriture implicite du rôle. Cependant, l’étendue de lecture implicite du rôle s’applique toujours. La nouvelle portée ne peut pas retourner des objets qui ne font pas partie de la portée de lecture implicite du rôle. Pour plus d'informations, voir Présentation des portées du rôle de gestion.

Toutes les procédures décrites dans cette rubrique utilisent le paramètre SecurityGroup pour affecter des rôles à un groupe de sécurité universel. Si vous souhaitez affecter le rôle à un utilisateur spécifique, utilisez le paramètre User au lieu du paramètre SecurityGroup. Tous les autres éléments de la syntaxe sont identiques pour chaque commande.

Créer une attribution de rôle sans étendue

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Attributions de rôles » dans la rubrique Autorisations pour la gestion des rôles.

Vous pouvez créer une attribution de rôle sans étendue. Lorsque vous effectuez cette opération, les étendues d’écriture implicite et de lecture implicite du rôle s’appliquent.

Utilisez la syntaxe suivante pour affecter un rôle à un groupe de sécurité universel sans étendue :

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

Par exemple, pour affecter le rôle Exchange Servers au groupe de sécurité SeattleAdmins, exécutez la commande suivante :

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

Créer une attribution de rôle avec une étendue relative prédéfinie

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Attributions de rôles » dans la rubrique Autorisations pour la gestion des rôles.

Si une étendue relative prédéfinie correspond à vos besoins professionnels, vous pouvez appliquer cette étendue à l'attribution de rôle au lieu de créer une étendue personnalisée. Pour obtenir la liste des étendues prédéfinies et leurs descriptions, voir Présentation des portées du rôle de gestion.

Utilisez la syntaxe suivante pour affecter un rôle à un groupe de sécurité universel avec une étendue prédéfinie :

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

Par exemple, pour affecter le rôle Exchange Servers au groupe de sécurité SeattleAdmins et appliquer l'étendue prédéfinie Organization, exécutez la commande suivante :

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

Créer une attribution de rôle avec une étendue basée sur le filtre destinataire

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Attributions de rôles » dans la rubrique Autorisations pour la gestion des rôles.

Si vous avez créé une étendue basée sur le filtre destinataire et que vous voulez l'utiliser avec une attribution de rôle, vous devez inclure la portée dans la commande utilisée pour affecter le rôle à un groupe de sécurité universel à l'aide du paramètre CustomRecipientWriteScope. Si vous utilisez le paramètre CustomRecipientWriteScope, vous ne pouvez pas utiliser le paramètre RecipientOrganizationalUnitScope.

Avant de pouvoir ajouter une étendue pour une attribution de rôle, vous devez en créer une. Pour plus d'informations, voir Créer une étendue normale ou exclusive.

Utilisez la syntaxe suivante pour affecter un rôle à un groupe de sécurité universel avec une étendue basée sur le filtre destinataire :

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

Par exemple, pour affecter le rôle Mail Recipients au groupe de sécurité Seattle Recipient Admins et appliquer l'étendue Seattle Recipients, exécutez la commande suivante :

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

Créer une attribution de rôle avec un filtre de serveur ou une étendue de configuration basée sur une liste

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Attributions de rôles » dans la rubrique Autorisations pour la gestion des rôles.

Si vous avez créé un filtre de serveur ou une étendue de configuration basée sur une liste et que vous voulez l'utiliser avec une attribution de rôle, vous devez inclure la portée dans la commande utilisée pour affecter le rôle à un groupe de sécurité universel à l'aide du paramètre CustomConfigWriteScope.

Avant de pouvoir ajouter une étendue pour une attribution de rôle, vous devez en créer une. Pour plus d'informations, voir Créer une étendue normale ou exclusive.

Utilisez la syntaxe suivante pour affecter un rôle à un groupe de sécurité universel avec une étendue de configuration :

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

Par exemple, pour affecter le rôle Exchange Servers au groupe de sécurité MailboxAdmins et appliquer l'étendue Mailbox Servers, exécutez la commande suivante :

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

Créer une attribution de rôle avec une étendue d'unité d'organisation

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Attributions de rôles » dans la rubrique Autorisations pour la gestion des rôles.

Si vous souhaitez affecter une portée d'écriture de rôle à une unité d'organisation, vous pouvez spécifier l'unité d'organisation directement dans le paramètre RecipientOrganizationalUnitScope. Si vous utilisez le paramètre RecipientOrganizationalUnitScope, vous ne pouvez pas utiliser le paramètre CustomRecipientWriteScope.

Utilisez la commande suivante pour affecter un rôle à un groupe de sécurité universel et limiter la portée d'écriture d'un rôle à une unité d'organisation spécifique :

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

Par exemple, pour affecter le rôle Mail Recipients au groupe universel SalesRecipientAdmins et étendre l'affectation à l'unité d'organisation Sales\Users du domaine contoso.com, utilisez la commande suivante :

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Créer une attribution de rôle avec une étendue de destinataire ou de configuration exclusive

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Attributions de rôles » dans la rubrique Autorisations pour la gestion des rôles.

Pour créer une attribution de rôle exclusive avec une étendue de destinataire ou de configuration exclusive, vous pouvez utiliser les procédures fournies dans les rubriques Créer une attribution de rôle avec une étendue basée sur le filtre destinataire et Créer une attribution de rôle avec un filtre de serveur ou une étendue de configuration basée sur une liste. Toutefois, lorsque vous créez une attribution de rôle avec une étendue exclusive, vous devez spécifier les paramètres exclusifs suivants selon que vous utilisez une étendue de destinataire exclusive ou un étendue de configuration exclusive :

• Étendues exclusives sur le destinataire   Utilisez le paramètre ExclusiveRecipientWriteScope au lieu du paramètre CustomRecipientWriteScope.
• Étendues de configuration exclusives   Utilisez le paramètre ExclusiveConfigWriteScope au lieu du paramètre CustomConfigWriteScope.

Lorsque vous exécutez cette procédure, les personnes auxquelles le rôle est affecté peuvent effectuer des actions sur les objets inclus dans l'étendue exclusive. Pour plus d'informations sur les étendues exclusives, voir Présentation des étendues exclusives.

Vous ne pouvez pas créer d'attribution de rôle avec des étendues à la fois exclusives et normales.

Par exemple, pour affecter le rôle Mail Recipients au groupe de sécurité Protected User Admins et appliquer l'étendue exclusive Protected Users, exécutez la commande suivante :

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"