New-RoleGroup

 

S’applique à :Exchange Online, Exchange Server 2016, Office 365 Security & Compliance Center

Dernière rubrique modifiée :2017-04-21

Cette cmdlet est disponible dans Exchange Server 2016 sur site et dans le service en nuage. Certains paramètres peuvent être propres à un environnement ou à un autre.

La cmdlet New-RoleGroup permet de créer des groupes de rôles de gestion.

Pour plus d'informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir SyntaxeSyntaxe de cmdlet Exchange.

New-RoleGroup <COMMON PARAMETERS>

New-RoleGroup -LinkedDomainController <String> -LinkedForeignGroup <UniversalSecurityGroupIdParameter> [-LinkedCredential <PSCredential>] <COMMON PARAMETERS>

COMMON PARAMETERS: -Name <String> [-Confirm [<SwitchParameter>]] [-CustomConfigWriteScope <ManagementScopeIdParameter>] [-CustomRecipientWriteScope <ManagementScopeIdParameter>] [-Description <String>] [-DisplayName <String>] [-DomainController <Fqdn>] [-Force <SwitchParameter>] [-ManagedBy <MultiValuedProperty>] [-Members <MultiValuedProperty>] [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>] [-Roles <RoleIdParameter[]>] [-SamAccountName <String>] [-WhatIf [<SwitchParameter>]]

Cet exemple crée un groupe de rôles. Les rôles Mail Recipients et Mail Enabled Public Folders sont affectés au groupe de rôles et les utilisateurs Kim et Martin sont ajoutés en tant que membres. Étant donné qu’aucune portée n’a été fournie, Kim et Martin peuvent gérer n’importe quel destinataire et redéfinir les mots de passe de tous les utilisateurs de l’organisation.

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients", "Mail Enabled Public Folders" -Members Kim, Martin

Cet exemple crée un groupe de rôles avec une portée de destinataire personnalisée. La portée de destinataire personnalisée, Seattle Recipients, limite la portée des rôles attribués au groupe de rôles à des destinataires dont la propriété City est définie sur Seattle. Les rôles Mail Recipients et Mail Enabled Public Folders sont affectés au groupe de rôles et les utilisateurs John et Carol sont ajoutés en tant que membres.

New-RoleGroup -Name "Seattle Limited Recipient Management" -Roles "Mail Recipients", "Mail Enabled Public Folders" -Members John, Carol -CustomRecipientWriteScope "Seattle Recipients"

Cet exemple crée un groupe de rôles et permet à Isabel d’ajouter des membres au groupe de rôles ou d’en supprimer en l’ajoutant à la propriété ManagedBy. Le rôle Transport Rules est attribué au groupe de rôles et le groupe de sécurité universel Compliance Group est ajouté en tant que membre.

New-RoleGroup -Name "Transport Rules Management" -Roles "Transport Rules" -Members "Compliance Group" -ManagedBy Isabel

Cet exemple crée un groupe de rôle lié qui permet aux membres du groupe de sécurité universel Toronto Administrators figurant dans la forêt utilisateur Contoso de gérer les destinataires situés dans le bureau de Toronto. La portée de destinataire personnalisée, Toronto Recipients, limite la portée des rôles affectés au groupe rôle à des destinataires dont la propriété City a pour valeur Toronto. Le rôle Destinataires de message est attribué au groupe de rôles.

En premier lieu, les informations d’identification de l’utilisateur de la forêt doivent être stockées dans une variable afin de pouvoir être utilisées avec la cmdlet New-RoleGroup. La commande suivante récupère les informations d’identification avec la cmdlet Get-Credential et les stocke dans la variable $Credentials.

$Credentials = Get-Credential

Ensuite, le groupe de rôles lié est créé à l’aide de la commande suivante.

New-RoleGroup -Name "ContosoUsers: Toronto Recipient Admins" -LinkedDomainController dc02.contosousers.contoso.com -LinkedCredential $Credentials -LinkedForeignGroup "Toronto Administrators" -CustomRecipientWriteScope "Toronto Recipients" -Roles "Mail Recipients"

Cet exemple prend un groupe de rôles existant et copie les rôles de ce groupe dans un nouveau groupe de rôles personnalisé. Ceci peut être utile si vous souhaitez créer un groupe de rôle similaire à un groupe de rôles existant mais ne voulez pas créer manuellement toutes les attributions de rôles. Par exemple, vous pouvez décider de créer un groupe de rôles contenant la plupart, mais pas l’intégralité, des rôles de gestion attribués au groupe de rôles « Recipient Management » (Gestion des destinataires).

Avant toute chose, stockez le groupe de rôles existant dans une variable à l’aide de la commande suivante.

$RoleGroup = Get-RoleGroup "Recipient Management"

Puis, créez le groupe de rôles personnalisé à l’aide de la commande suivante.

New-RoleGroup "Limited Recipient Management" -Roles $RoleGroup.Roles

Le nouveau groupe de rôles « Limited Recipient Management » (Gestion restreinte des destinataires) dispose maintenant des mêmes rôles que le groupe « Recipient Management ». Supprimez les attributions de rôles que vous ne souhaitez pas utiliser à l’aide de la cmdlet Remove-ManagementRoleAssignment. Par exemple, vous pouvez ne pas vouloir des membres du groupe de rôles « Limited Recipient Management » pour la gestion des groupes de distribution. Utilisez la commande suivante pour supprimer l’attribution de rôle entre le rôle de gestion « Distribution Groups » (Groupes de distribution) et le groupe de rôles « Limited Recipient Management ».

Remove-ManagementRoleAssignment "Distribution Groups-Limited Recipient Management"

Cet exemple utilise des variables pour stocker des informations. Pour plus d’informations sur les variables, voir Variables définies par l’utilisateur.

Il n’est pas nécessaire d’ajouter des membres ou d’attribuer des rôles de gestion au groupe de rôles lors de sa création. Cependant, tant que vous n’avez pas ajouté de membres ou attribué de rôles au groupe de rôles, le groupe de rôles n’octroie aucune autorisation aux utilisateurs. Vous pouvez également spécifier des portées personnalisées de configurations ou de destinataires lorsque vous créez un groupe de rôles. Ces portées sont appliquées aux attributions de rôle de gestion créées en même temps que le groupe de rôles.

Lorsque vous créez un groupe de rôles, vous pouvez créer le groupe et y ajouter des membres directement, ou créer un groupe de rôles lié. Un groupe de rôles lié relie le groupe de rôles à un groupe de sécurité universel dans une autre forêt. La création d’un groupe de rôles lié est utile si vos serveurs exécutant Exchange résident dans une forêt de ressources et que les utilisateurs et les administrateurs se trouvent dans une autre forêt utilisateur. Si vous créez un groupe de rôles lié, vous ne pouvez pas y ajouter des membres directement. Vous devez ajouter les membres au groupe de sécurité universel dans la forêt étrangère.

Pour plus d’informations sur les groupes de rôles, voir la rubrique Présentation des groupes de rôles de gestion.

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que tous les paramètres de cette cmdlet soient répertoriés dans cette rubrique, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour voir les autorisations qui vous sont nécessaires, voir Entrée «Groupes de rôles» dans la rubrique Autorisations pour la gestion des rôles.

 

Paramètre Obligatoire Type Description

LinkedDomainController

Requis

System.String

Ce paramètre est disponible uniquement dans Exchange 2016 sur site.

Le paramètre LinkedDomainController spécifie le nom de domaine complet (FQDN) ou l’adresse IP du contrôleur de domaine de la forêt dans laquelle réside le groupe universel de sécurité (USG). Le contrôleur de domaine que vous spécifiez sert à obtenir les informations de sécurité relatives au groupe de sécurité universel étranger spécifié par le paramètre LinkedForeignGroup.

Si vous utilisez le paramètre LinkedDomainController, vous devez spécifier un groupe universel de sécurité étranger au moyen du paramètre LinkedForeignGroup, sans pouvoir utiliser le paramètre Members.

LinkedForeignGroup

Obligatoire

Microsoft.Exchange.Configuration.Tasks.UniversalSecurityGroupIdParameter

Ce paramètre est disponible uniquement dans Exchange 2016 sur site.

Le paramètre LinkedForeignGroup spécifie le groupe universel de sécurité étranger auquel vous voulez lier ce groupe de rôles. Si le nom du groupe universel de sécurité étranger contient des espaces, mettez le nom entre guillemets (« »).

Si vous utilisez le paramètre LinkedForeignGroup, vous devez spécifier un contrôleur de domaine dans le paramètre LinkedDomainController et vous ne pouvez pas utiliser le paramètre Members.

Name

Requis

System.String

Le paramètre Name spécifie le nom du nouveau groupe de rôles. Ce nom peut contenir un maximum de 64 caractères. Si le nom contient des espaces, mettez le nom entre guillemets (« »).

noteRemarque :
Si vous créez un groupe de rôles lié, il est recommandé d’inclure le nom de la forêt étrangère dans le nom du groupe de rôles afin de pouvoir associer plus facilement le groupe de rôles lié et la forêt étrangère associée. Ceci est particulièrement important si vous avez plusieurs forêts.

Confirm

Facultatif

System.Management.Automation.SwitchParameter

Le commutateur Confirm spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.

  • Les cmdlets destructives (par exemple, les cmdlets Remove-*) ont une pause intégrée qui vous oblige à confirmer la commande avant de poursuivre. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte : -Confirm:$false.

  • La plupart des autres cmdlets (par exemple, les cmdlets New-* et Set-*) n’ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.

CustomConfigWriteScope

Facultatif

Microsoft.Exchange.Configuration.Tasks.ManagementScopeIdParameter

Ce paramètre est disponible uniquement dans Exchange 2016 sur site.

Le paramètre CustomConfigWriteScope spécifie l’étendue de gestion basée sur la configuration existante à associer avec les attributions de rôle de gestion créées avec ce groupe de rôles. Si le nom de l’étendue de gestion contient des espaces, mettez le nom entre guillemets (« »). Utilisez la cmdlet Get-ManagementScope pour récupérer une liste d’étendues de gestion existantes.

CustomRecipientWriteScope

Facultatif

Microsoft.Exchange.Configuration.Tasks.ManagementScopeIdParameter

Le paramètre CustomRecipientWriteScope spécifie l’étendue de gestion de destinataire à associer avec les attributions de rôle de gestion créées avec ce groupe de rôles. Si le nom de l’étendue de gestion contient des espaces, mettez le nom entre guillemets (« »).

Utilisez la cmdlet Get-ManagementScope pour récupérer une liste d’étendues de gestion existantes.

Si vous utilisez le paramètre CustomRecipientWriteScope, vous ne pouvez pas utiliser le paramètre RecipientOrganizationalUnitScope.

Description

Facultatif

System.String

Le paramètre Description spécifie la description qui est affichée lorsque le groupe de rôle est affiché à l’aide de la cmdlet Get-RoleGroup. Mettez la description entre guillemets (« »).

DisplayName

Facultatif

System.String

Le paramètre DisplayName spécifie le nom convivial du groupe de rôles. Si le nom contient des espaces, mettez le nom entre guillemets (« »). Ce paramètre peut comporter un maximum de 256 caractères.

DomainController

Facultatif

Microsoft.Exchange.Data.Fqdn

Ce paramètre est disponible uniquement dans Exchange 2016 sur site.

Le paramètre DomainController spécifie le contrôleur de domaine qui est utilisé par cette cmdlet pour lire ou écrire les données dans Active Directory. Vous identifiez le contrôleur de domaine par son nom de domaine complet (FQDN). Par exemple : dc01.contoso.com.

Force

Facultatif

System.Management.Automation.SwitchParameter

Le commutateur Force spécifie s’il faut supprimer les messages d’avertissement ou de confirmation. Vous pouvez utiliser ce commutateur pour exécuter des tâches par programme, lorsqu’une intervention administrative est inappropriée. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

LinkedCredential

Facultatif

System.Management.Automation.PSCredential

Ce paramètre est disponible uniquement dans Exchange 2016 sur site.

Le paramètre LinkedCredential spécifie les informations d’identification à utiliser pour accéder au contrôleur de domaine spécifié par le paramètre LinkedDomainController.

Ce paramètre requiert que vous créiez un objet d’informations d’identification à l’aide de la cmdlet Get-Credential. Pour plus d’informations, consultez la rubrique Get-Credential.

ManagedBy

Facultatif

Microsoft.Exchange.Data.MultiValuedProperty

Le paramètre ManagedBy spécifie les utilisateurs ou groupes universels de sécurité qui peuvent modifier la configuration d’un groupe de rôles ou ajouter des membres à un groupe de rôles ou en supprimer de ce dernier.

Vous pouvez utiliser le nom, le nom unique (DN) ou l’adresse SMTP principale de l’utilisateur ou du groupe de sécurité universel que vous souhaitez ajouter. Si le nom de l’utilisateur ou du groupe de sécurité universel contient des espaces, mettez-le entre guillemets (« »).

Si vous voulez ajouter plus d’un utilisateur ou groupe universel de sécurité, séparez-les par des virgules.

Members

Facultatif

Microsoft.Exchange.Data.MultiValuedProperty

Le paramètre Members spécifie les boîtes aux lettres ou groupes de sécurité universels à ajouter comme membre du groupe de rôles. Vous pouvez utiliser le nom, le nom unique ou l’adresse SMTP principale de l’utilisateur ou du groupe de sécurité universel que vous souhaitez ajouter. Si le nom de l’utilisateur ou du groupe de sécurité universel contient des espaces, mettez-le entre guillemets (« »). Si vous voulez ajouter plus d’un utilisateur ou groupe universel de sécurité, séparez-les par des virgules.

Si vous utilisez le paramètre Members, vous ne pouvez pas utiliser les paramètres LinkedForeignGroup, LinkedDomainController ou LinkedCredential.

RecipientOrganizationalUnitScope

Facultatif

Microsoft.Exchange.Configuration.Tasks.OrganizationalUnitIdParameter

Ce paramètre est disponible uniquement dans Exchange 2016 sur site.

Le paramètre RecipientOrganizationalUnitScope spécifie la portée de l’unité d’organisation ajoutée aux attributions de rôle créées lors de création du groupe de rôles. Si vous utilisez le paramètre RecipientOrganizationalUnitScope, vous ne pouvez pas utiliser le paramètre CustomRecipientWriteScope. Pour spécifier une unité d’organisation, utilisez la syntaxe suivante : domaine/unité d’organisation. Si le nom de l’unité d’organisation contient des espaces, mettez le domaine et l’unité d’organisation entre guillemets (« »).

Roles

Facultatif

Microsoft.Exchange.Configuration.Tasks.RoleIdParameter[]

Le paramètre Roles spécifie les rôles de gestion qui seront affectés au groupe de rôles lors de sa création. Si un nom de rôle contient des espaces, mettez-le entre guillemets (« »). Si vous souhaitez affecter plusieurs rôles, séparez leurs noms par des virgules.

Pour obtenir la liste des rôles de gestion intégrés que vous pouvez affecter à un groupe de rôles, voir Rôles de gestion intégrés.

SamAccountName

Facultatif

System.String

Ce paramètre est disponible uniquement dans Exchange 2016 sur site.

Le paramètre SamAccountName (également appelé nom de groupe ou compte d’utilisateur pré-Windows 2000) spécifie un identificateur d’objet qui est compatible avec les versions antérieures des systèmes d’exploitation de serveur et de client Microsoft Windows. La valeur peut contenir des lettres, des chiffres, des espaces, des points (.) et les caractères !, #, $, %, ^, &, -, _, {, }, et ~. Le dernier caractère ne peut pas être un point. Les caractères Unicode sont autorisés, mais les caractères accentués peuvent générer des conflits (par exemple, correspondance entre o et ö). La longueur maximale est de 20 caractères.

WhatIf

Facultatif

System.Management.Automation.SwitchParameter

Le commutateur WhatIf simule les actions de la commande. Vous pouvez utiliser ce commutateur pour afficher les modifications qui se produiraient sans réellement appliquer ces modifications. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

Pour visualiser les types d’entrées acceptés par cette cmdlet, consultez la rubrique Types d’entrée et de sortie de la cmdlet d’Exchange Management Shell. Si le champ Type d’entrée pour une cmdlet est vide, la cmdlet n’accepte pas les données d’entrée.

Pour visualiser les types de retours, également appelés types de sorties, acceptés par cette cmdlet, consultez la rubrique Types d’entrée et de sortie de la cmdlet d’Exchange Management Shell. Si le champ Type de sortie est vide, la cmdlet ne renvoie pas de données.

 
Afficher: