Rôles de gestion intégrés

S’applique à : Exchange Server 2013

Microsoft Exchange Server 2013 inclut plusieurs rôles de gestion par défaut. Les rôles suivants sont attribués aux groupes de rôles de gestion ou aux stratégies d'attribution des rôles de gestion sous la forme de diverses combinaisons qui accordent des autorisations pour la gestion et l'utilisation des fonctionnalités proposées par Exchange 2013. Pour plus d'informations sur les rôles, voir Présentation des rôles de gestion.

Rôle des autorisations Active Directory

Rôle des listes d'adresses

Rôle ApplicationImpersonation

Rôle ArchiveApplication

Rôle Journaux d'audit

Rôle des agents d'extension de cmdlet

Rôle de protection contre la perte de données

Rôle des groupes de disponibilité de base de données

Rôle des copies de base de données

Rôle des bases de données

Rôle de récupération d'urgence

Rôle des groupes de distribution

Rôle des abonnements Edge

Rôle des stratégies d'adresses de messagerie

Rôle des connecteurs Exchange

Rôle des certificats d'Exchange Server

Rôle des serveurs Exchange

Rôle des répertoires virtuels Exchange

Rôle de partage fédéré

Rôle de gestion des droits relatifs à l'information

Rôle de journalisation

Rôle de conservation légale

Rôle LegalHoldApplication

Rôle des dossiers publics à extension messagerie

Rôle Création de destinataires de message

Rôle des destinataires de messagerie

Rôle des conseils de messagerie

Rôle d'importation et d'exportation de boîtes aux lettres

Rôle de recherche de boîte aux lettres

Rôle MailboxSearchApplication

Rôle de suivi des messages

Rôle de migration

Rôle d'analyse

Rôle Déplacer des boîtes aux lettres

Rôle My Custom Apps

Rôle My Marketplace Apps

Rôle de MyAddressInformation

Rôle MyBaseOptions

Rôle MyContactInformation

Rôle MyDiagnostics

Rôle de MyDisplayName

Rôle MyDistributionGroupMembership

Rôle MyDistributionGroups

Rôle de MyMobileInformation

Rôle de MyName

Rôle de MyPersonalInformation

Rôle MyProfileInformation

Rôle MyRetentionPolicies

Rôle MyTeamMailboxes

Rôle MyTextMessaging

Rôle MyVoiceMail

Rôle OfficeExtensionApplication

Rôle Org Custom Apps

Rôle Org Marketplace Apps

Rôle d'accès au client de l'organisation

Rôle de configuration de l'organisation

Rôle des paramètres de transport de l'organisation

Rôle des protocoles POP3 et IMAP4

Rôle Dossiers publics

Rôle des connecteurs de réception

Rôle des stratégies de destinataire

Rôle des domaines acceptés et distants

Rôle de réinitialisation de mot de passe

Rôle gestion de la rétentiont

Rôle de gestion des rôles

Création du groupe de sécurité et rôle de membre

Rôle Connecteurs d'envoi

Prise en charge du rôle de diagnostics

Rôle de boîtes aux lettres d'équipe

Rôle TeamMailboxLifecycleApplication

Rôle des agents de transport

Rôle d'hygiène de transport

Rôle des files d'attente de transport

Rôle des règles de transport

Rôle des boîtes aux lettres de messagerie unifiée

Rôle Messages de messagerie unifiée

Rôle de messagerie unifiée

Rôle de gestion de rôle non délimité

Rôle des options de l'utilisateur

Rôle UserApplication

Rôle Journaux d'audit en affichage seul

Rôle de configuration en affichage seul

Rôle Destinataires en affichage uniquement

Ces rôles de gestion sont l’un des rôles intégrés du modèle d’autorisations RBAC (Role Based Access Control) dans Microsoft Exchange Server 2013. Les rôles de gestion, qui sont attribués à un ou plusieurs groupes de rôles de gestion, stratégies d'attribution de rôle de gestion, utilisateurs ou groupes de sécurité universels, agissent en tant que regroupement logique de cmdlets ou de scripts qui sont associés pour fournir un accès afin d'afficher ou de modifier la configuration des composants Exchange 2013, tels que des bases de données de boîtes aux lettres, des règles de transport et des destinataires. Si une cmdlet ou un script et ses paramètres, appelés « entrée de rôle de gestion », sont inclus dans un rôle, cette cmdlet ou ce script et ses paramètres peuvent être exécutés par les utilisateurs qui ont attribué le rôle. Pour plus d'informations sur les rôles de gestion et les entrées de rôles de gestion, consultez la rubrique Présentation des rôles de gestion.

Pour plus d'informations sur les rôles de gestion, les groupes de rôles de gestion et les autres composants de contrôle d'accès basé sur un rôle, voir Présentation du contrôle d'accès basé sur un rôle.

Gestion des attributions de rôles

Pour que ces rôles accordent des autorisations, ils doivent être attribués à un destinataire de rôle, qui peut être un groupe de rôles, un utilisateur ou un groupe de sécurité universel (USG). Cette affectation s'effectue à l'aide des attributions de rôles de gestion. Les attributions de rôles lient les personnes affectées au rôle aux rôles. Si plusieurs rôles sont attribués à une personne affectée au rôle, celle-ci bénéficie de l'association de toutes les autorisations accordées par tous les rôles attribués.

En plus de la liaison des personnes affectées au rôle pour ces rôles, les attributions de rôles peuvent également être appliquées aux étendues de gestion intégrées ou personnalisées. Les étendues de gestion contrôlent le destinataire, le serveur et les objets de base de données qui peuvent être modifiés par les attributions de rôle. Si ces rôles sont attribués à un cessionnaire de rôle, mais qu’une étendue de gestion permet au bénéficiaire du rôle de gérer uniquement certains objets en fonction d’une étendue définie, le bénéficiaire du rôle peut uniquement utiliser les autorisations accordées par ces rôles sur ces objets spécifiques. Les autorisations fournies par ces rôles ne peuvent pas être appliquées à des objets en dehors de l’étendue définie sur l’attribution de rôle. Ce rôle centré sur l’utilisateur a des étendues implicites qui ne peuvent pas être modifiées. Par conséquent, vous ne devez pas ajouter d’étendues personnalisées à des attributions de rôle qui affectent ce rôle à des stratégies d’attribution de rôles, des groupes de rôles, des groupes de sécurité universelle ou des utilisateurs.

• Présentation des attributions de rôles de gestion

• Présentation des portées du rôle de gestion

Ces rôles sont attribués à un ou plusieurs groupes de rôles par défaut. Pour plus d'informations, consultez la section « Attributions de rôles de gestion par défaut » plus loin dans cette rubrique.

Si vous souhaitez afficher la liste des groupes de rôles, des utilisateurs ou des groupes de sécurité utilisateur affectés à ces rôles, utilisez la commande suivante.

Get-ManagementRoleAssignment -Role "<role name>"

Regular and delegating role assignments

Ces rôles peuvent être attribués aux attributions de rôles à l’aide d’attributions de rôles régulières ou de délégation. Les attributions de rôles normales accordent des autorisations fournies par le rôle à la personne affectée au rôle. Les attributions de rôle de délégation accordent à la personne affectée au rôle la possibilité d'affecter le rôle aux autres personnes affectées au rôle. Pour plus d'information sur les attributions de rôle normales et la délégation d'attributions de rôle de gestion, consultez la rubrique Présentation des attributions de rôles de gestionPrésentation des attributions de rôles de gestion.

Ajout ou suppression des attributions de rôles

Vous pouvez modifier les attributions de rôles qui se voient attribuer ces rôles. En modifiant le destinataire de rôle auquel ces rôles sont attribués, vous modifiez les personnes qui disposent de ses autorisations. Vous pouvez attribuer ces rôles à d’autres groupes de rôles intégrés, ou vous pouvez créer des groupes de rôles et leur attribuer ces rôles. Vous pouvez également attribuer ces rôles à des utilisateurs ou des groupes de sécurité utilisateur. Cependant, nous vous recommandons de limiter l'attribution de rôles aux utilisateurs et groupes de sécurité universels car de telles attributions risquent d'augmenter sensiblement la complexité de votre modèle d'autorisations.

Pour attribuer ces rôles à des ayants de rôle, le rôle doit être attribué à un groupe de rôles dont vous êtes membre, directement à vous ou à un groupe de gestion des états-unis dont vous êtes membre, à l’aide d’une attribution de rôle de délégation. Pour plus d'informations sur les attributions de rôle de délégation, consultez la section « Attributions de rôles normales et de délégation ».

Vous pouvez également supprimer ces rôles des groupes de rôles intégrés, des groupes de rôles que vous créez, des utilisateurs et des groupes de sécurité utilisateur. Toutefois, il doit toujours y avoir au moins une attribution de rôle de délégation entre ces rôles et un groupe de rôles ou un groupe de rôles. Vous ne pouvez pas supprimer la dernière attribution de rôle de délégation. Cette limitation permet d'empêcher de vous déconnecter du système.

Pour plus d’informations sur l’ajout ou la suppression d’attributions entre ces rôles et groupes de rôles, utilisateurs et groupes de rôles, et groupes de groupe de travail, consultez les rubriques suivantes :

• Gérer des groupes de rôles

• Ajouter un rôle à un utilisateur ou un groupe de sécurité universel

• Supprimer un rôle d'un utilisateur ou un groupe universel de sécurité

Modification des étendues de gestions sur les attributions de rôles

Vous pouvez également modifier les étendues de gestion sur les attributions de rôles existantes entre ces rôles et les attributions de rôles. En modifiant les étendues des attributions de rôles, vous contrôlez les objets qui peuvent être gérés à l’aide des autorisations fournies par ces rôles. Vous pouvez modifier l'étendue sur une attribution de rôle de plusieurs manières. Vous pouvez utiliser l'une des méthodes suivantes :

• Ajouter une étendue personnalisée à l'aide de la cmdlet Set-ManagementRoleAssignment. Pour plus d'informations, consultez les rubriques suivantes :

  • Créer une étendue normale ou exclusive

  • Modifier une attribution de rôle

• Ajouter ou modifier une étendue de l'unité d'organisation à l'aide de la cmdlet Set-ManagementRoleAssignment. Pour plus d'informations, consultez la rubrique Modifier une attribution de rôle.

• Ajouter ou modifier une étendue prédéfinie à l'aide de la cmdlet Set-ManagementRoleAssignment. Pour plus d'informations, consultez la rubrique Modifier une attribution de rôle.

• Modifier l'étendue d'un destinataire, d'un serveur ou d'une base de données sur une étendue personnalisée associée à une attribution de rôle à l'aide de la cmdlet Set-ManagementScope. Pour plus d'informations, consultez la rubrique Modifier l'étendue d'un rôle.

Activation ou désactivation des attributions de rôles

En activant ou en désactivant une attribution de rôle, vous contrôlez si cette attribution est effective ou non. Si une attribution de rôle est désactivée, les autorisations accordées par le rôle associé ne sont pas appliquées à la personne affectée au rôle. C'est commode si vous souhaitez temporairement supprimer des autorisations sans supprimer une attribution de rôle. Pour plus d'informations, consultez la rubrique Modifier une attribution de rôleModifier une attribution de rôle.

Gestion de la personnalisation des rôles

Ces rôles ont été configurés pour fournir à un destinataire de rôle toutes les applets de commande et tous les paramètres nécessaires pour gérer les fonctionnalités et les composants répertoriés au début de cette rubrique. D'autres rôles ont également été fournis pour activer la gestion d'autres fonctionnalités. En ajoutant et en supprimant des rôles dans des groupes de rôles, vous pouvez créer un modèle d'autorisations personnalisé sans personnaliser des rôles de gestion individuels. Pour obtenir une liste complète de rôles, consultez la rubrique Rôles de gestion intégrés. Pour plus d'informations sur la personnalisation des groupes de rôles, consultez la rubrique Gérer des groupes de rôles.

Si vous décidez de créer une version personnalisée de ces rôles, vous devez créer un rôle en tant qu’enfant de ces rôles et personnaliser le nouveau rôle.

Les informations suivantes vous permettent d’effectuer la gestion avancée d’autorisations. La personnalisation des rôles de gestion peut augmenter considérablement la complexité de votre modèle d’autorisations. Vous risquez d’interrompre le fonctionnement de certaines fonctions si vous remplacez le rôle de gestion intégré par un rôle personnalisé et configuré de manière incorrecte.

1. Créez une copie d’un rôle. Pour plus d'informations, consultez la rubrique Créer un rôle.

2. Modifiez ou supprimez les entrées de rôle sur le nouveau rôle à l'aide des cmdlets Set-ManagementRoleEntry et Remove-ManagementRoleEntry. Vous ne pouvez pas ajouter d'entrées de rôles au nouveau rôle car il ne peut contenir que les entrées de rôle sur le rôle intégré parent. Pour plus d'informations, consultez les rubriques suivantes :

   • Modifier une entrée de rôle

   • Supprimer une entrée de rôle d'un rôle

3. Si vous souhaitez remplacer le rôle intégré par le nouveau rôle personnalisé, supprimez toute attribution de rôle associée au rôle intégré. Pour plus d'informations, consultez les rubriques suivantes :

   • Section « Ajouter ou supprimer un rôle dans un groupe de rôles » dans Gérer des groupes de rôles

   • Supprimer un rôle d'un utilisateur ou un groupe universel de sécurité

4. Affectez le nouveau rôle personnalisé aux personnes requises. Pour plus d'informations, consultez les rubriques suivantes :

   • Section « Ajouter ou supprimer un rôle dans un groupe de rôles » dans Gérer des groupes de rôles

   • Ajouter un rôle à un utilisateur ou un groupe de sécurité universel

     Importante

     Si vous souhaitez que les autres utilisateurs, en plus de l'utilisateur qui a créé le rôle, puissent attribuer le nouveau rôle personnalisé, assurez-vous d'ajouter une attribution de rôle de délégation à au moins une personne affectée au rôle. Pour plus d'informations, consultez la rubrique Déléguer les attributions de rôles.