Gérer des groupes de rôles liés

Exchange 2013
 

Sapplique à :Exchange Server 2013

Dernière rubrique modifiée :2012-10-09

Vous pouvez utiliser un groupe de rôles de gestion liés pour permettre aux membres d’un groupe de sécurité universel (USG) d’une forêt Active Directory étrangère de gérer une organisation Microsoft Exchange Server 2013 au sein d’une forêt Active Directory de ressources. En associant un USG dans une forêt étrangère à un groupe de rôles liés, les membres de cet USG reçoivent les autorisations octroyées par les rôles de gestion attribués au groupe de rôles liés. Pour plus d’informations sur les groupes de rôles liés, voir Présentation des groupes de rôles de gestion.

Pour créer et configurer des groupes de rôles liés, vous devez utiliser les cmdlets New-RoleGroup et Set-RoleGroup. Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques suivantes :

Autres tâches de gestion relatives aux groupes de rôles, voir Autorisations.

  • Durée d’exécution estimée de chaque procédure : 5 à 10 minutes

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Groupes de rôles » dans la rubrique Autorisations pour la gestion des rôles.

  • Vous ne pouvez pas utiliser le Centre d’administration Exchange (CAE) pour créer ou configurer des groupes de rôles liés. Vous devez utiliser l’environnement de ligne de commande Exchange Management Shell.

  • Au minimum, la configuration d’un groupe de rôles liés requiert l’établissement d’une approbation unidirectionnelle entre la forêt de ressources Active Directory où réside le groupe de rôles liés et la forêt étrangère Active Directory où se trouvent les utilisateurs ou les USG. La forêt de ressources doit faire confiance à la forêt étrangère.

  • Vous devez posséder les informations suivantes sur la forêt étrangère Active Directory :

    • Informations d’identification   Vous devez posséder un nom d’utilisateur et un mot de passe pour accéder à la forêt étrangère Active Directory. Ces informations sont utilisées avec le paramètre LinkedCredential sur le cmdlets New-RoleGroup et Set-RoleGroup.

    • Contrôleur de domaine   Vous devez bénéficier d’un nom de domaine complet (FQDN) d’un Active Directorycontrôleur de domaine dans la forêt étrangèreActive Directory. Ces informations sont utilisées avec le paramètre LinkedDomainController sur le cmdlets New-RoleGroup et Set-RoleGroup.

    • Groupe de sécurité universelle étranger   Vous devez posséder le nom entier d’un groupe de sécurité universelle dans la forêt Active Directory étrangère qui contient les membres que vous souhaitez associer avec le groupe de rôles liés. Ces informations sont utilisées avec le paramètre LinkedForeignGroup sur les cmdlets New-RoleGroup et Set-RoleGroup.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d’administration Exchange.

ConseilConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection

Pour créer un groupe de rôles liés et lui attribuer des rôles de gestion, procédez comme suit :

  1. Stockez les informations d’identification de la forêt Active Directory étrangère dans une variable.

    $ForeignCredential = Get-Credential
    
  2. Créez le groupe de rôles liés à l’aide de la syntaxe suivante.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Ajoutez ou supprimez les membres depuis ou vers le groupe de sécurité universelle étranger en utilisant les ordinateurs et les utilisateurs Active Directory sur un ordinateur dans la forêt Active Directory étrangère.

Cet exemple effectue les opérations suivantes :

  • Récupération des informations d’identification pour la forêt Active Directory étrangère users.contoso.com. Ces informations d’identification sont utilisées pour vous connecter au contrôleur de domaine DC01.users.contoso.com dans la forêt étrangère.

  • Crée un groupe de rôles liés nommé Groupe de rôles de conformité dans la forêt de ressources où est installé Exchange 2013.

  • Relie le nouveau groupe de rôles à l’USG Administrateurs de conformité dans la forêt users.contoso.com Active Directory.

  • Attribue les rôles Règles de transport et Gestion de la journalisation au nouveau groupe de rôles liés.

$ForeignCredential = Get-Credential
New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"

Vous pouvez créer des groupes de rôles liés avec des portées de gestion de destinataires personnalisées, des portées de gestion de configuration personnalisées ou avec les deux. Pour créer un groupe de rôles liés et lui attribuer des rôles de gestion avec des portées personnalisées, procédez comme suit :

  1. Stockez les informations d’identification de la forêt Active Directory étrangère dans une variable.

    $ForeignCredential = Get-Credential
    
  2. Créez le groupe de rôles liés à l’aide de la syntaxe suivante.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Ajoutez ou supprimez les membres depuis ou vers le groupe de sécurité universelle étranger en utilisant les ordinateurs et les utilisateurs Active Directory sur un ordinateur dans la forêt Active Directory étrangère.

Cet exemple effectue les opérations suivantes :

  • Récupération des informations d’identification pour la forêt Active Directory étrangère users.contoso.com. Ces informations d’identification sont utilisées pour vous connecter au contrôleur de domaine DC01.users.contoso.com dans la forêt étrangère.

  • Crée un groupe de rôles liés nommé Groupe de rôles de conformité Seattle dans la forêt de ressources où est installé Exchange 2013.

  • Relie le nouveau groupe de rôles à l’USG Administrateurs de conformité Seattle dans la forêt users.contoso.com Active Directory.

  • Attribue les rôles Règles de transport et Gestion de journalisation au nouveau groupe de rôles liés avec la portée de destinataires personnalisée Destinataires Seattle.

$ForeignCredential = Get-Credential
New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"

Pour plus d’informations sur les étendues de gestion, voir Présentation des portées du rôle de gestion.

Vous pouvez créer des groupes de rôles liés qui utilisent une portée de destinataires OU. Pour créer un groupe de rôles liés et lui attribuer des rôles de gestion avec une portée OU, procédez comme suit :

  1. Stockez les informations d’identification de la forêt Active Directory étrangère dans une variable.

    $ForeignCredential = Get-Credential
    
  2. Créez le groupe de rôles liés à l’aide de la syntaxe suivante.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>
    
  3. Ajoutez ou supprimez les membres depuis ou vers le groupe de sécurité universelle étranger en utilisant les ordinateurs et les utilisateurs Active Directory sur un ordinateur dans la forêt Active Directory étrangère.

Cet exemple effectue les opérations suivantes :

  • Récupération des informations d’identification pour la forêt Active Directory étrangère users.contoso.com. Ces informations d’identification sont utilisées pour vous connecter au contrôleur de domaine DC01.users.contoso.com dans la forêt étrangère.

  • Crée un groupe de rôles liés nommé Groupe de rôles de conformité Cadres dans la forêt de ressources où est installé Exchange 2013.

  • Relie le nouveau groupe de rôles à l’USG Administrateurs de conformité Cadres dans la forêt users.contoso.com Active Directory.

  • Attribue les rôles Règles de transport et Gestion de journalisation au nouveau groupe de rôles liés avec la portée de destinataires OU Cadres OU.

$ForeignCredential = Get-Credential
New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"

Pour plus d’informations sur les étendues de gestion, voir Présentation des portées du rôle de gestion.

Pour modifier le groupe de sécurité universel étranger associé à un groupe de rôles lié, effectuez les opérations suivantes :

  1. Stockez les informations d’identification de la forêt Active Directory étrangère dans une variable.

    $ForeignCredential = Get-Credential
    
  2. Utilisez la syntaxe suivante pour modifier l'USG étranger sur le groupe de rôles liés existant.

    Set-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential 
    

Cet exemple effectue les opérations suivantes :

  • Récupération des informations d’identification pour la forêt Active Directory étrangère users.contoso.com. Ces informations d’identification sont utilisées pour vous connecter au contrôleur de domaine DC01.users.contoso.com dans la forêt étrangère.

  • Modification du groupe de sécurité universel étranger associé au groupe de rôles « Compliance Role Group » en « Regulatory Compliance Officers ».

$ForeignCredential = Get-Credential
Set-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Regulatory Compliance Officers" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential
 
Afficher: