Changer l’étendue des attributions de rôle dans le groupe de rôles

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2012-07-23

Les groupes de rôles de gestion sont attribués à ces rôles de gestion. Les attributions de rôles de gestion entre un groupe de rôles et un rôle contenant des étendues de gestion, qui déterminent les objets disponibles pour les membres de ce groupe de rôles. En modifiant l’étendue d’écriture sur un groupe de rôles, vous pouvez modifier des objets rendus disponibles aux membres du groupe de rôles pour les créer, les modifier ou les supprimer. Vous ne pouvez pas modifier l’étendue de lecture sur un groupe de rôles.

Microsoft Exchange Server 2010 inclut des étendues qui sont appliquées par défaut à des attributions de rôles lorsqu’aucune étendue personnalisée n’est créée. Si vous souhaitez utiliser une étendue personnalisée avec une attribution de rôles sur un groupe de rôles, vous devez d’abord en créer une. Pour plus d’informations sur la création d’étendues personnalisées, qui est une tâche avancée, consultez la rubrique Créer une étendue normale ou exclusive.

Pour plus d’informations sur les étendues de rôles de gestion et les attributions dans Exchange 2010, voir les rubriques suivantes :

• Présentation des portées du rôle de gestion

• Présentation des attributions de rôles de gestion

Souhaitez-vous rechercher les autres tâches de gestion relatives aux groupes des rôles ? Consultez la rubrique Gestion des administrateurs et des utilisateurs spécialistes.

Utilisation du Panneau de configuration Exchange (ECP) pour modifier l’étendue sur un groupe de rôles

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Groupes de rôles » dans la rubrique Autorisations pour la gestion des rôles.

Lorsque vous utilisez le panneau de configuration Exchange (ECP) pour modifier l’étendue sur un groupe de rôles, vous modifiez en réalité l’étendue sur toutes les attributions de rôles entre le groupe de rôles et chacun des rôles de gestion affecté au groupe de rôles. Si vous souhaitez modifier l’étendue sur des attributions de rôles spécifiques, vous devez utiliser les procédures de l’environnement de ligne de commande Exchange Management Shell décrites plus loin dans cette rubrique.

Important :

Vous ne pouvez pas utiliser le Panneau de configuration Exchange (ECP) pour gérer les étendues des attributions de rôles entre les rôles et un groupe de rôles si vous avez utilisé l’environnement de lignes de commande Exchange Management Shell pour configurer plusieurs étendues ou des étendues exclusives sur ces attributions de rôles. Si vous avez configuré plusieurs étendues ou des étendues exclusives sur ces attributions de rôles, vous devez utiliser les procédures de l’environnement de ligne de commande Exchange Management Shell décrites plus loin dans cette rubrique pour gérer les étendues. Pour plus d’informations sur les étendues de rôles de gestion, consultez la rubrique Présentation des portées du rôle de gestion.

1. Dans la console de gestion Exchange (EMC), accédez à la Boîte à outils dans l’arborescence de la console.

2. Dans le volet Travail, double-cliquez sur Éditeur des utilisateurs RBAC (contrôle d’accès basé sur un rôle) pour ouvrir l’éditeur des utilisateurs dans le panneau de configuration Exchange (ECP).

3. Fournissez les informations d’identification dans les champs Domaine/Nom d’utilisateur et Mot de passe pour un compte ayant les autorisations nécessaires pour ouvrir l’éditeur des utilisateurs dans le Panneau de configuration Exchange (ECP). Cliquez sur Se connecter.

4. Cliquez sur l’onglet Rôles d’administrateur.

5. Sélectionnez le groupe de rôles pour lequel vous souhaitez modifier l’étendue, puis cliquez sur Détails.

6. Sélectionnez une des deux options Étendue d’écriture suivantes :

   • Étendue d’écriture à partir de la zone de liste déroulante. Dans cette zone, vous pouvez sélectionner soit l’étendue d’écriture par défaut soit une étendue d’écriture personnalisée.

   • Unité d’organisation   Sélectionnez cette option et fournissez une unité d’organisation (OU) si vous souhaitez étendre ce groupe de rôles à une unité d’organisation.

7. Cliquez sur Enregistrer pour enregistrer les modifications apportées au groupe de rôles.

Utiliser l’environnement de ligne de commande Exchange Management Shell pour modifier simultanément l’étendue de toutes les attributions de rôle sur un groupe de rôles

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Groupes de rôles » dans la rubrique Autorisations pour la gestion des rôles.

Les attributions de rôles entre le groupe de rôles et les rôles attribués peuvent utiliser l’étendue implicite obtenue des rôles, la même étendue personnalisée ou des étendues personnalisées différentes. Pour plus d’informations sur les attributions de rôles, consultez la rubrique Présentation des attributions de rôles de gestion.

Les étendues sur les attributions de rôles sont gérées à l’aide de la cmdlet Set-ManagementRoleAssignment. Vous ne pouvez pas gérer les étendues à l’aide de la cmdlet Set-RoleGroup.

Pour modifier simultanément l’étendue de toutes les attributions de rôle entre un groupe de rôles et un jeu de rôles de gestion, vous devez d’abord extraire les attributions de rôle du groupe de rôles, puis définir la nouvelle étendue sur chaque attribution. Pour ce faire, récupérez les attributions de rôle à l’aide de la cmdlet Get-ManagementRoleAssignment, puis transmettez-les à la cmdlet Set-ManagementRoleAssignment.

Cette procédure utilise les concepts de traitement en pipeline et le commutateur WhatIf. Pour plus d’informations, consultez les rubriques suivantes :

• Traitement en pipeline

• Commutateurs WhatIf, Confirm et ValidateOnly

Pour définir l’étendue de toutes les attributions de rôle sur un groupe de rôles simultanément, utilisez la syntaxe suivante.

Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributioGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>

Vous utilisez uniquement les paramètres dont vous avez besoin pour configurer l’étendue que vous souhaitez utiliser. Par exemple, si vous souhaitez remplacer l’étendue du destinataire pour l’ensemble des attributions de rôle sur le groupe de rôles Gestion des destinataires Ventes par le groupe Employés du service des ventes directes, utilisez la commande suivante.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Remarque :
Le commutateur WhatIf vous permet de vérifier que seules les attributions de rôle devant être modifiées sont modifiées. Exécutez la commande précédente avec le commutateur WhatIf pour vérifier les résultats, puis supprimez le commutateur WhatIf pour appliquer les modifications.

Pour plus d’informations sur la modification des attributions des rôles de gestion, voir Modifier une attribution de rôle.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment.

Utiliser l’environnement de ligne de commande pour modifier individuellement les attributions de rôle sur un groupe de rôles

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Groupes de rôles » dans la rubrique Autorisations pour la gestion des rôles.

Les attributions de rôles entre le groupe de rôles et les rôles attribués peuvent utiliser l’étendue implicite obtenue des rôles, la même étendue personnalisée ou des étendues personnalisées différentes. Pour plus d’informations sur les attributions de rôles, consultez la rubrique Présentation des attributions de rôles de gestion.

Les étendues sur les attributions de rôles sont gérées à l’aide de la cmdlet Set-ManagementRoleAssignment. Vous ne pouvez pas gérer les étendues à l’aide de la cmdlet Set-RoleGroup.

Cette procédure utilise les concepts de traitement en pipeline et la cmdlet Format-List. Pour plus d’informations, consultez les rubriques suivantes :

• Traitement en pipeline

• Utilisation de la sortie d’une commande

Pour modifier l’étendue d’une attribution de rôle entre un groupe de rôles et un rôle de gestion, vous devez d’abord trouver le nom de l’attribution de rôle, puis définir l’étendue sur l’attribution.

1. Pour rechercher les noms de toutes les attributions de rôle sur un groupe de rôles, utilisez la commande suivante. En transmettant les attributions de rôle de gestion à la cmdlet Format-List, vous pouvez afficher le nom complet de l’attribution.

   Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
   

2. Recherchez le nom de l’attribution de rôle que vous souhaitez modifier. Utilisez le nom de l’attribution dans l’étape suivante.

3. Pour définir l’étendue d’une attribution individuelle, utilisez la syntaxe suivante.

   Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributioGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
   

Vous utilisez uniquement les paramètres dont vous avez besoin pour configurer l’étendue que vous souhaitez utiliser. Par exemple, si vous souhaitez remplacer l’étendue du destinataire de l’attribution de rôle Destinataires des messages_Destinataires des Ventes par Tous les employés du service des ventes, utilisez la commande suivante.

Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"

Pour plus d’informations sur la modification des attributions des rôles de gestion, voir Modifier une attribution de rôle.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Set-ManagementRoleAssignment.

Autres tâches

Une fois que vous avez changé l’étendue des attributions de rôle sur un groupe de rôles, vous pouvez également :

• Ajouter des membres un groupe de rôles

• Supprimer des membres d’un groupe de rôles

• Ajouter un rôle à un groupe de rôles

• Supprimer un rôle à partir d’un groupe de rôles

 © 2010 Microsoft Corporation. Tous droits réservés.