Partager via


Créer un rôle non délimité

S'applique à : Exchange Server 2010

Dernière rubrique modifiée : 2009-10-05

Un rôle de gestion non délimité peut être utilisé pour fournir aux administrateurs et aux utilisateurs spécialistes l’accès aux scripts Windows PowerShell et aux cmdlets non Exchange. Vous pouvez soit créer un rôle de niveau supérieur non délimité et ajouter des scripts ou des cmdlets non Exchange à ce rôle, ou bien créer un rôle basé sur un rôle de niveau supérieur existant non délimité. Après la création et la personnalisation d’un rôle non délimité, ce dernier peut être attribué à des groupes de rôles de gestion, des utilisateurs et des groupes universels de sécurité (USG). Les rôles non délimités ne peuvent pas être attribués à des stratégies d’attribution de rôle de gestion. Pour plus d’informations sur les rôles non délimités, voir Présentation des rôles de gestion.

Dd876886.Caution(fr-fr,EXCHG.140).gifAttention :
Les rôles non délimités peuvent être puissants car, comme le sous-entend leur nom, aucune étendue de gestion ne leur est appliquée. Autrement dit, les scripts et les cmdlets non Exchange qu’ils contiennent peuvent être exécutés sur n’importe quel objet de votre organisation Exchange. Pensez à cela lorsque vous ajoutez des scripts ou des cmdlets non Exchange à un rôle non délimité et lorsque vous attribuez le rôle non délimité.
Dd876886.note(fr-fr,EXCHG.140).gifRemarque :
Si vous souhaitez créer un rôle qui contient des cmdlets Exchange, vous devez créer un rôle basé sur un rôle de gestion existant. Pour plus d’informations sur la création de rôles avec les cmdlets Exchange, consultez Créer un rôle.

Souhaitez-vous rechercher les autres tâches de gestion relatives aux rôles ? Consultez la rubrique Gestion des autorisations avancées.

Conditions préalables

La possibilité de créer des rôles non délimités n’est incluse dans aucun groupe de rôles de gestion par défaut. Vous devez d’abord attribuer un rôle de gestion des rôles non délimités à un utilisateur, à un groupe universel de sécurité ou à un groupe de rôles auquel appartient l’utilisateur pour que celui-ci puisse créer un groupe de rôle. Pour plus d’informations sur l’ajout d’un rôle à un utilisateur, un groupe de sécurité universelle ou un groupe de rôles, voir les rubriques suivantes :

Que voulez-vous faire ?

  • Créer un rôle de gestion de niveau supérieur non délimité
  • Créer un rôle non délimité basé sur un autre rôle non délimité

Créer un rôle de gestion de niveau supérieur non délimité

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Rôles de gestion non délimités » dans la rubrique Autorisations pour la gestion des rôles.

Si vous souhaitez mettre à disposition des utilisateurs ou des spécialistes de votre organisation des scripts personnalisés ou des cmdlets non Exchange, vous devez créer un rôle de niveau supérieur non délimité. Les scripts et les cmdlets non Exchange peuvent uniquement être ajoutés à un rôle non délimité créé sous forme de rôle de niveau supérieur, car le rôle non délimité initial n’hérite pas des autres rôles. Le nouveau rôle de niveau supérieur non délimité peut alors être parent d’autres rôles non délimités qui peuvent aussi utiliser les scripts et les cmdlets non Exchange ajoutés.

Voici les étapes à suivre pour créer un rôle de niveau supérieur non délimité :

  • Étape 1 : Créer le rôle de niveau supérieur non délimité : Créer le rôle de niveau supérieur non délimité
  • Étape 2a : Ajouter des entrées de rôle de gestion de script : Ajouter des entrées de rôle de gestion de script
  • Étape 2b : Ajouter des entrées de rôle de cmdlet non Exchange: Ajouter des entrées de rôle de cmdlet non Exchange
  • Étape 3 : Attribuer le rôle de gestion: Attribuer le rôle de gestion

Étape 1 : Créer le rôle de niveau supérieur non délimité

Les rôles de niveau supérieur non délimités n’ont pas de rôle parent. Pour créer un rôle sans parent, vous devez spécifier le commutateur UnscopedTopLevel. Utilisez la syntaxe suivante pour créer le nouveau rôle.

New-ManagementRole <name of new role> -UnscopedTopLevel

Cet exemple crée le rôle de niveau supérieur non délimité de scripts informatiques.

New-ManagementRole "IT Scripts" -UnscopedTopLevel

Après sa création, le rôle est vide jusqu’à ce que vous y ajoutiez des scripts ou des cmdlets non Exchange.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-ManagementRole.

Étape 2a : Ajouter des entrées de rôle de gestion de script

Si vous voulez ajouter un script au nouveau rôle non délimité, utilisez cette procédure. Si vous voulez ajouter une cmdlet non Exchange à un nouveau rôle non délimité, utilisez la procédure décrite en Étape 2b : Ajouter des entrées de rôle de cmdlet non Exchange.

Pour ajouter un script Windows PowerShell à un rôle de niveau supérieur non délimité, vous devez ajouter une entrée de rôle de gestion au rôle. L’entrée de rôle contient le nom du script et les paramètres sur le script que vous souhaitez rendre disponibles au rôle.

Le script doit résider dans le répertoire Scripts du chemin d’installation Microsoft Exchange Server 2010 sur chaque serveur exécutant Exchange 2010 où les utilisateurs peuvent se connecter pour exécuter le script. Si un utilisateur a accès pour exécuter un script mais que celui-ci ne se trouve pas sur le serveur Exchange 2010 auquel l’utilisateur est connecté, une erreur se produit. Par défaut, le chemin au répertoire Scripts est C:\Program Files\Microsoft\Exchange Server\V14\Scripts.

Après que vous avez copié le script aux serveurs Exchange 2010 appropriés et décidé quels paramètres de script devraient être utilisés, créez l’entrée de rôle à l’aide de la syntaxe suivante.

Add-ManagementRoleEntry <unscoped top-level role name>\<script filename> -Parameters <parameter 1, parameter 2, parameter...> -Type Script -UnscopedTopLevel

Cet exemple décrit l’ajout du script BulkProvisionUsers.ps1 au rôle de scripts IT Scripts avec les paramètres Name et Location.

Add-ManagementRoleEntry "IT Scripts\BulkProvisionUsers.ps1" -Parameters Name, Location -Type Script -UnscopedTopLevel
Dd876886.note(fr-fr,EXCHG.140).gifRemarque :
La cmdlet Add-ManagementRoleEntry effectue une validation simple pour vous assurer que vous ajoutez uniquement les paramètres qui existent dans le script. Cependant, aucune validation supplémentaire n’est faite après l’ajout de l’entrée de rôle. Si des paramètres sont ultérieurement ajoutés ou supprimés, vous devez manuellement mettre à jour les entrées de rôle qui contiennent le script.

Étape 2b : Ajouter des entrées de rôle de cmdlet non Exchange

Si vous voulez ajouter une cmdlet non Exchange au nouveau rôle non délimité, utilisez cette procédure. Si vous voulez ajouter un script au nouveau rôle non délimité, utilisez la procédure décrite en Étape 2a : Ajouter des entrées de rôle de gestion de script..

Pour ajouter une cmdlet non Exchange à un rôle de niveau supérieur non délimité, vous devez ajouter une entrée de rôle de gestion au rôle. L’entrée de rôle contient le composant logiciel enfichable de la cmdlet, le nom de cmdlet et les paramètres sur la cmdlet que vous souhaitez rendre disponibles au rôle.

Si vous ajoutez des cmdlets non Exchange au nouveau rôle, les cmdlets doivent être installées sur chaque serveur Exchange 2010 où les utilisateurs peuvent se connecter pour exécuter les cmdlets. Pour apprendre à installer et enregistrer correctement les composants logiciels enfichables Windows qui contiennent les cmdlets que vous souhaitez utiliser, reportez-vous à la documentation de votre produit.

Après avoir installé le composant logiciel Windows PowerShell contenant les cmdlets pour les serveurs Exchange 2010 qui conviennent et avoir choisi les paramètres de cmdlet à utiliser, créez l’entrée de rôle utilisant la syntaxe suivante.

Add-ManagementRoleEntry <unscoped top-level role name>\<cmdlet name> -PSSnapinName <snap-in name> -Parameters <parameter 1, parameter 2, parameter...> -Type Cmdlet -UnscopedTopLevel

Cet exemple vous indique comment ajouter la cmdlet Set-WidgetConfiguration dans le composant logiciel enfichable Contoso.Admin.Cmdlets au rôle Widget Cmdlets avec les paramètres Database et Size.

Add-ManagementRoleEntry "Widget Cmdlets\Set-WidgetConfiguration" -PSSnapinName Contoso.Admin.Cmdlets -Parameters Database, Size -Type Cmdlet -UnscopedTopLevel
Dd876886.note(fr-fr,EXCHG.140).gifRemarque :
La cmdlet Add-ManagementRoleEntry effectue une validation simple pour vous assurer que vous ajoutez uniquement les paramètres qui existent dans la cmdlet. Cependant, aucune validation supplémentaire n’est faite après l’ajout de l’entrée de rôle. Si la cmdlet est modifiée ultérieurement et que des paramètres sont ajoutés ou supprimés, vous devez manuellement mettre à jour les entrées de rôle qui contiennent la cmdlet.

Étape 3 : Attribuer le rôle de gestion

L’étape finale lorsque vous créez et configurez un rôle consiste à l’attribuer à un utilisateur.

Dd876886.important(fr-fr,EXCHG.140).gifImportant :
Les étendues de gestion ne peuvent pas être configurées sur les attributions de rôles qui affectent un rôle non délimité. Lorsque vous choisissez de créer une attribution de rôle pour un groupe de rôles, un utilisateur ou un groupe de sécurité universel, vous devez choisir l’option pour créer une attribution de rôle sans étendue de gestion.

Vous pouvez attribuer le nouveau rôle à un groupe de rôles, un utilisateur ou à un groupe de sécurité universel. Pour plus d’informations, consultez les rubriques suivantes :

Créer un rôle non délimité basé sur un autre rôle non délimité

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Rôles de gestion » dans la rubrique Autorisations pour la gestion des rôles.

S’il existe un rôle de niveau supérieur non délimité existant ou d’autres rôles non délimités sur lesquels vous souhaitez baser de nouveaux rôles non délimités, vous pouvez créer des rôles non délimités enfants. Les rôles enfants du rôle non délimité peuvent contenir un sous-ensemble des scripts et des cmdlets qui existent sur les rôles parents non délimités. Cela s’avère utile, par exemple, si vous souhaitez attribuer uniquement un sous-ensemble des scripts ou des cmdlets disponibles sur un rôle parent non délimité à un administrateur moins expérimenté.

Voici les étapes à suivre pour créer un rôle enfant non délimité :

  • Étape 1 : Créer le rôle enfant non délimité : Créer le rôle enfant non délimité
  • Étape 2 : Modifier les entrées de rôle de gestion du rôle : Modifier les entrées de rôle de gestion du rôle
  • Étape 3 : Attribuer le rôle de gestion: Attribuer le rôle de gestion

Étape 1 : Créer le rôle enfant non délimité

Les nouveaux rôles enfants non délimités peuvent être basés sur des rôles existants non délimités. Lorsque vous créez un rôle, un rôle existant et ses entrées de rôle de gestion sont copiés dans le nouveau rôle. Le rôle existant devient le parent du nouveau rôle enfant. Si vous créez un rôle non délimité basé sur un autre rôle non délimité, vous devez choisir un rôle contenant toutes les cmdlets et tous les paramètres dont vous avez besoin puis supprimer ceux que vous ne voulez pas. Les rôles enfants non délimités ne peuvent pas avoir d’entrées de rôle de gestion qui n’existent pas dans le rôle parent.

Dd876886.note(fr-fr,EXCHG.140).gifRemarque :
Si vous souhaitez créer un rôle non délimité contenant des scripts ou des cmdlets non Exchange qui n’existent dans aucun autre rôle délimité, créez un rôle de niveau supérieur non délimité. Pour plus d’informations, voir Créer un rôle de gestion de niveau supérieur non délimité auparavant dans cette rubrique.

Utilisez la syntaxe suivante pour créer le nouveau rôle.

New-ManagementRole -Parent <existing unscoped role to copy> -Name <name of new unscoped role>

Cet exemple copie le rôle Scripts informatiques globaux et ses entrées de rôle de gestion dans le rôle Scripts informatiques diagnostics.

New-ManagementRole -Parent "IT Global Scripts" -Name "Diagnostic IT Scripts"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-ManagementRole.

Étape 2 : Modifier les entrées de rôle de gestion du rôle

Après avoir créé votre rôle, vous devez modifier les entrées de rôle. Vous pouvez supprimer l’intégralité d’une entrée de rôle, qui supprime entièrement l’accès au script ou à la cmdlet non Exchange associé. Ou vous pouvez supprimer les paramètres d’une entrée de rôle pour supprimer l’accès aux paramètres spécifiques du script ou de la cmdlet non Exchange associé.

Il est impossible d’ajouter des entrées de rôle ou des paramètres sur des entrées de rôle sauf s’ils existent dans le rôle parent. Puisque vous venez de créer un rôle à partir d’un rôle parent à l’étape 1, vous ne pouvez pas ajouter des paramètres ou des entrées de rôles supplémentaires sur les entrées de rôles car elles n’existent pas dans le rôle parent.

Lorsque vous modifiez une entrée sur un rôle, vous pouvez effectuer l’une des actions suivantes :

  • Supprimer une entrée de rôle entière et unique.
  • Supprimer des entrées de rôles entières multiples.
  • Supprimer des paramètres d’une entrée de rôle.

Pour supprimer des entrées de rôles de votre nouveau rôle, voir Supprimer une entrée de rôle à partir d’un rôle.

Étape 3 : Attribuer le rôle de gestion

L’étape finale lorsque vous créez et configurez un rôle consiste à l’attribuer à un utilisateur.

Dd876886.important(fr-fr,EXCHG.140).gifImportant :
Les étendues de gestion ne peuvent pas être configurées sur les attributions de rôles qui affectent un rôle non délimité. Lorsque vous choisissez de créer une attribution de rôle pour un groupe de rôles, un utilisateur ou un groupe de sécurité universel, vous devez choisir l’option pour créer une attribution de rôle sans étendue de gestion.

Vous pouvez attribuer le nouveau rôle à un groupe de rôles, un utilisateur ou à un groupe de sécurité universel. Pour plus d’informations, consultez les rubriques suivantes :