Configurer Exchange 2010 pour les autorisations partagées
S'applique à : Exchange Server 2010
Dernière rubrique modifiée : 2009-10-07
Les autorisations partagées vous permettent, en tant qu’administrateur Exchange Server 2010, de créer les entités de sécurité Active Directory (les utilisateurs par exemple), puis de les configurer comme destinataires d’Exchange. À l’inverse des autorisations divisées, qui permettent de répartir les tâches de gestion entre les groupes d’administrateurs Exchange et d’administrateurs Active Directory, les autorisations partagées n’ont pas recours à la séparation des tâches.
Pour plus d’informations sur les autorisations de partage, voir Présentation des autorisations fractionnées.
Vous pouvez configurer les autorisations partagées dans votre organisation Exchange 2010 si les autorisations divisées ont été préalablement paramétrées. Si vous n’avez jamais configuré les autorisations divisées dans votre organisation, il n’est pas nécessaire d’exécuter cette procédure. Par défaut, Exchange 2010 est configuré pour les autorisations partagées.
Pour plus d’informations sur les groupes de rôle de gestion, les rôles de gestion et la délégation des attributions de rôles de gestion, voir les rubriques suivantes :
- Présentation du contrôle d'accès basé sur un rôle
- Présentation des groupes de rôles de gestion
- Présentation des rôles de gestion
- Présentation des attributions de rôles de gestion
Souhaitez-vous rechercher les autres tâches de gestion relatives aux autorisations ? Consultez la rubrique Gestion des autorisations avancées.
Conditions préalables
- L’organisation Exchange 2010 doit être configurée pour accepter les autorisations divisées.
- Vous devez disposer des autorisations appropriées pour déléguer les rôles de gestion Création du destinataire de messagerie et Création du groupe de sécurité et appartenance au groupe de rôles de gestion Gestion de l'organisation ou à un autre groupe de rôles auquel est attribué le rôle Destinataires de message.
Utiliser l’environnement de ligne de commande Exchange Management Shell pour configurer les autorisations partagées dans Exchange 2010
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Groupes de rôles » dans la rubrique Autorisations pour la gestion des rôles.
.gif "Dd638146.note(fr-fr,EXCHG.140).gif") Remarque : |
|---|
| Vous ne pouvez pas utiliser la console EMC pour configurer les autorisations partagées. |
Pour configurer les autorisations partagées dans Exchange 2010, vous devez attribuer le rôle Création du destinataire de messagerie et le rôle Création du groupe de sécurité et appartenance à un groupe de rôles auquel est également attribué le rôle Destinataires de message et qui possède comme membres les administrateurs Exchange 2010. Dans la configuration des autorisations partagées par défaut, le groupe de rôles Gestion de l'organisation contient chacun de ces rôles. De ce fait, le groupe de rôles Gestion de l'organisation figure dans cette procédure.
Configurer les autorisations partagées
Pour configurer les autorisations partagées dans le groupe de rôles Gestion de l'organisation, effectuez la procédure suivante en utilisant un compte doté des autorisations nécessaires pour déléguer les attributions de rôle du rôle Création du destinataire de messagerie et du rôle Création du groupe de sécurité et appartenance :
Ajoutez une attribution de rôle de délégation du rôle Création du destinataire de messagerie au groupe de rôles Gestion de l'organisation en exécutant la commande suivante.
New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -DelegatingAjoutez une attribution de rôle ordinaire du rôle Création du destinataire de messagerie au groupe de rôles Gestion de l'organisation en exécutant la commande suivante.
New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"Ajoutez une attribution de rôle de délégation du rôle Création du groupe de sécurité et appartenance au groupe de rôles Gestion de l'organisation en exécutant la commande suivante.
New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -DelegatingAjoutez une attribution de rôle ordinaire du rôle Création du groupe de sécurité et appartenance au groupe de rôles Gestion de l'organisation en exécutant la commande suivante.
New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-ManagementRoleAssignment.
Supprimer les autorisations via les administrateurs d’Active Directory (facultatif)
Vous pouvez éventuellement supprimer les autorisations octroyées aux administrateurs Active Directory si vous ne souhaitez plus créer ou gérer des objets Active Directory via les outils de gestion Exchange. Pour ce faire, exécutez cette procédure.
| Remarque : |
|---|
| Même s’il vous est possible de supprimer les autorisations des administrateurs Active Directory de gérer des objets Active Directory via les outils de gestion Exchange, Active Directory les administrateurs peuvent continuer à gérer les objets Active Directory au moyen des outils de gestion Active Directory si leurs autorisations Active Directory le leur permettent. Cependant, ils ne sont pas en mesure de gérer les attributs spécifiques à Exchange dans les objets Active Directory. Pour plus d’informations, voir Présentation des autorisations fractionnées. |
Pour supprimer les autorisations divisées liées à Exchange des administrateurs Active Directory, procédez comme suit :
Au moyen de la commande suivante, recherchez les attributions de rôle ordinaire et de rôle de délégation qui attribuent le rôle Création du destinataire de messagerie au groupe de rôles ou au groupe de sécurité universelle qui contient comme membres les administrateurs Active Directory.
Get-ManagementRoleAssignment -Role "Mail Recipient Management" -RoleAssignee <role group or USG name>Au moyen de la commande suivante, recherchez les attributions de rôle ordinaire et de rôle de délégation qui attribuent le rôle Création du groupe de sécurité et appartenance au groupe de rôles ou au groupe de sécurité universelle qui contient comme membres les administrateurs Active Directory.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" -RoleAssignee <role group or USG name>Au moyen des commandes suivantes, supprimez les attributions de rôle ordinaire et de rôle de délégation entre le rôle Création du destinataire de messagerie et le groupe de rôles ou le groupe de sécurité universelle qui contient comme membres les administrateurs Active Directory.
Remove-ManagementRoleAssignment <Mail Recipient Creation delegating assignment name> Remove-ManagementRoleAssignment <Mail Recipient Creation regular assignment name>Au moyen des commandes suivantes, supprimez les attributions de rôle ordinaire et de rôle de délégation entre le rôle Création du groupe de sécurité et appartenance et le groupe de rôles ou le groupe de sécurité universelle qui contient comme membres les administrateurs Active Directory.
Remove-ManagementRoleAssignment <Security Group Creation and Membership delegating assignment name> Remove-ManagementRoleAssignment <Security Group Creation and Membership regular assignment name>Facultatif. Pour supprimer l’ensemble des autorisations Exchange associées aux administrateurs Active Directory, vous pouvez supprimer le groupe de rôles ou le groupe de sécurité universelle dont ils sont membres. Pour plus d’informations sur la suppression d’un groupe de rôles, voir Supprimer un groupe de rôles.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment et Remove-ManagementRoleAssignment.