Installation déléguée
S'applique à : Exchange Server 2010
Dernière rubrique modifiée : 2009-10-12
Le programme d'installation délégué Le groupe de rôles de gestion est l’un des groupes de rôles intégrés qui créent un modèle d’autorisations de contrôle d’accès basé sur un rôle (RBAC) dans Microsoft Exchange Server 2010. Un ou plusieurs rôles de gestion sont affectés aux groupes de rôles qui contiennent les autorisations requises pour effectuer un ensemble de tâches données. Les membres d’un groupe de rôles sont autorisés à accéder aux rôles de gestion attribués au groupe de rôles. Pour plus d’informations sur les groupes de rôles, voir Présentation des groupes de rôles de gestion.
Les administrateurs membres du groupe de rôles Installation déléguée peuvent déployer des serveurs exécutant Exchange 2010 qui ont été précédemment mis en service par un membre du groupe de rôles Gestion de l'organisation. Pour plus d'informations sur l'installation déléguée, voir Configurer un serveur Exchange 2010 et déléguer l'installation.
Les membres du groupe de rôles Installation déléguée peuvent uniquement déployer des serveurs Exchange 2010 ; ils ne peuvent pas gérer le serveur après son déploiement. Pour qu'un utilisateur puisse gérer un serveur après son déploiement, il doit être membre du groupe de rôles Gestion du serveur.
Pour plus d'informations sur le contrôle d'accès basé sur les rôles, voir Présentation du contrôle d'accès basé sur un rôle.
Appartenance au groupe de rôles
Si vous souhaitez ajouter ou supprimer des membres dans ce groupe de rôles, voir les rubriques suivantes :
Par défaut, uniquement les membres du groupe de rôles Gestion de l’organisation peuvent ajouter ou supprimer des membres dans ce groupe de rôles. Pour plus d’informations sur la manière d’ajouter des délégués de groupe de rôles, voir Ajouter ou supprimer un délégué de groupe de rôles.
Vous pouvez utiliser la commande suivante pour afficher une liste des utilisateurs ou des groupes de sécurité universelle qui sont membres de ce groupe de rôles.
Get-RoleGroupMember "Delegated Setup"
Pour plus d’informations sur les membres d’un groupe de rôles, voir Afficher les membres d’un groupe de rôles.
Personnalisation d’un groupe de rôles
Ce groupe de rôles est attribué aux rôles de gestion par défaut. Les rôles inclus sont répertoriés dans la section « Rôles de gestion attribués à ce groupe de rôles ». Vous pouvez ajouter ou supprimer des attributions de rôles dans ce groupe de rôles pour qu’ils correspondent aux besoins de votre organisation.
Les groupes de rôles fournis avec Exchange 2010 sont conçus pour faire correspondre à des tâches plus précises. En attribuant des rôles à un groupe de rôles, vous permettez aux membres de ce groupe de rôles d’effectuer les tâches associées au rôle. Par exemple, le rôle de journalisation permet la gestion de l’agent de journalisation et des règles de journalisation. Pour plus d’informations sur la façon dont les rôles sont attribués aux groupes de rôles, voir Présentation des attributions de rôles de gestion.
Les rôles attribués à ce groupe de rôles bénéficient d’étendues de gestion par défaut. Les étendues de gestion déterminent les objets Exchange qui peuvent être visualisés ou modifiés par les membres d’un groupe de rôles. Vous pouvez modifier les étendues associées aux attributions entre les rôles et les groupes de rôles. Par exemple, vous souhaitez peut-être effectuer cette opération si vous voulez uniquement que les membres d’un groupe de rôles puissent modifier les destinataires qui se trouvent dans une unité d’organisation ou un emplacement spécifique. Pour plus d’informations sur les étendues de gestion, voir Présentation des portées du rôle de gestion.
Pour plus d’informations sur la manière de personnaliser ce groupe de rôles, voir les rubriques suivantes :
- Ajouter un rôle à un groupe de rôles
- Supprimer un rôle à partir d’un groupe de rôles
- Ajouter des membres un groupe de rôles
- Supprimer des membres d’un groupe de rôles
- Changer l’étendue des attributions de rôle dans le groupe de rôles
Si vous souhaitez créer un groupe de rôles et attribuer certains des rôles affectés à ce groupe de rôles au nouveau groupe de rôles, voir Créer un groupe de rôles.
Autorisations supplémentaires
Les autorisations accordées aux membres du groupe de rôles Installation déléguée sont déterminées essentiellement par les rôles de gestion attribués au groupe de rôles. Cependant, certaines tâches que vous devez effectuer ne sont pas prises en compte par les rôles de gestion. De fait, certaines tâches se produisent hors des outils de gestion Exchange et par conséquent le modèle des autorisations RBAC ne s’applique pas. Pour ces tâches, les autorisations sont fournies en ajoutant le groupe de rôles Installation déléguée aux listes de contrôle d'accès de certains objets Active Directory.
Pour la tâche suivante, les autorisations sont accordées par le biais des listes de contrôle d'accès sur des objets Active Directory, et non par les rôles de gestion associés au groupe de rôles Installation déléguée :
- Déploiement de serveurs qui ont été précédemment mis en service par un membre du groupe de rôles Gestion de l'organisation.
Pour connaître toutes les autorisations accordées au groupe de rôles Installation déléguée par le biais des listes de contrôle d'accès sur des objets Active Directory, voir Référence d'autorisations de déploiement d'Exchange 2010.
Rôles de gestion attribués à ce groupe de rôles
Le tableau suivant répertorie tous les rôles de gestion qui sont attribués à ce groupe de rôles et les attributs suivants de chaque attribution de rôle :
- Attribution normale Permet aux membres du groupe de rôles d’accéder aux entrées de rôle de gestion rendues disponibles par le rôle de gestion associé.
- Attribution de délégation Permet aux membres du groupe de rôles d’affecter le rôle spécifié à d’autres groupes de rôles, des stratégies d’attribution de rôle, des utilisateurs ou des groupes de sécurité universels.
- Étendue de lecture du destinataire Détermine quels membres des objets du destinataire du groupe de rôles sont autorisés en lecture à partir de Active Directory.
- Étendue d’écriture du destinataire Détermine quels membres des objets du destinataire du groupe de rôles sont autorisés à effectuer des modifications dans Active Directory.
- Étendue de lecture de configuration Détermine quels membres des objets serveur et de configuration du groupe de rôles sont autorisés en lecture à partir de Active Directory.
- Étendue d’écriture du destinataire Détermine quels membres des objets du destinataire du groupe de rôles sont autorisés à effectuer des modifications dans Active Directory.
Pour plus d’informations sur les attributions de rôle et les étendues de gestion, voir les rubriques suivantes :
Rôles de gestion attribués à ce groupe de rôles
Rôle de gestion | Attribution normale | Attribution de délégation | Étendue de lecture du destinataire | Étendue d’écriture du destinataire | Configuration de l’étendue de lecture | Configuration de l’étendue d’écriture |
---|---|---|---|---|---|---|
X |
|
|
|
|
|