Rôle de récupération d’urgence
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2015-03-09
The Le rôle de gestion Disaster Recovery
permet aux administrateurs de restaurer des boîtes aux lettres et des groupes de disponibilité de base de données, de créer des bases de données de boîtes aux lettres, ainsi que de démarrer et d’arrêter des groupes de disponibilité de base de données au sein d’une organisation.
Ce rôle de gestion est l’un des rôles intégrés dans le modèle des autorisations de contrôle d’accès en fonction du rôle (RBAC) dans Microsoft Exchange Server 2010. Les rôles de gestion, qui sont attribués à un ou plusieurs groupes de rôles de gestion, stratégies d’attribution de rôle de gestion, utilisateurs ou groupes de sécurité universels, agissent en tant que regroupement logique de cmdlets ou de scripts qui sont combinés pour fournir un accès afin d’afficher ou de modifier la configuration des composants Exchange 2010, tels que des boîtes aux lettres, des règles de transport et des destinataires. Si une cmdlet ou un script et ses paramètres, appelés « entrée de rôle de gestion », sont inclus dans un rôle, cette cmdlet ou ce script et ses paramètres peuvent être exécutés par les utilisateurs qui ont attribué le rôle. Pour plus d’informations sur les rôles de gestion et les entrées de rôles de gestion, voir Présentation des rôles de gestion.
Pour plus d’informations sur les rôles de gestion, les groupes de rôles de gestion et les autres composants de contrôle d’accès basé sur un rôle, voir Présentation du contrôle d'accès basé sur un rôle.
Attributions de rôles de gestion
Pour que ce rôle puisse accorder des autorisations, il doit être attribué à une personne affectée au rôle, qui peut être un groupe de rôles, un utilisateur ou un groupe de sécurité universel (USG). Cette affectation s’effectue à l’aide des attributions de rôles de gestion. Les attributions de rôles lient les personnes affectées au rôle aux rôles. Si plusieurs rôles sont attribués à une personne affectée au rôle, celle-ci bénéficie de l’association de toutes les autorisations accordées par tous les rôles attribués.
En plus de la liaison aux rôles des personnes affectées au rôle, les attributions de rôles peuvent également appliquer des étendues de gestion intégrées ou personnalisées. Les étendues de gestion contrôlent quels objets de base de données, destinataire et serveur peuvent être modifiés par les personnes affectées au rôle. Si ce rôle est attribué à une personne affectée au rôle mais qu’une étendue de gestion autorise la personne affectée au rôle à gérer uniquement certains objets basés sur une étendue définie, cette personne peut uniquement utiliser les autorisations accordées par ce rôle sur ces objets spécifiques. Les autorisations fournies par ce rôle ne peuvent pas être appliquées aux objets hors de l’étendue définie sur l’attribution de rôle. Pour plus d’informations sur les attributions de rôle et les étendues, consultez les rubriques suivantes :
Ce rôle est attribué à un ou plusieurs groupes de rôles par défaut. Pour plus d’informations, consultez la section « Gestion par défaut des attributions de rôles » plus loin dans cette rubrique.
Si vous souhaitez afficher une liste de groupes de rôles, d’utilisateurs ou de groupes de sécurité universels attribués à ce rôle, utilisez la commande suivante.
Get-ManagementRoleAssignment -Role « <nom du rôle> »
Attributions de rôles normales et de délégation
Ce rôle peut être attribué aux personnes affectées au rôle à l’aide d’attributions de rôles normales ou de délégation. Les attributions de rôles normales accordent des autorisations fournies par le rôle à la personne affectée au rôle. Les attributions de rôle de délégation accordent à la personne affectée au rôle la possibilité d’affecter le rôle aux autres personnes affectées au rôle. Pour plus d’information sur les attributions de rôle normales et la délégation d’attributions de rôle de gestion, consultez la rubrique Présentation des attributions de rôles de gestion.
Ajout ou suppression des attributions de rôles
Vous pouvez modifier les personnes auxquelles ce rôle est attribué. En modifiant la personne pour laquelle ce rôle est attribué, vous modifiez la personne dont les autorisations ont été accordées. Vous pouvez attribuer ce rôle à d’autres groupes de rôles intégrés ou vous pouvez créer des groupes de rôles et leur attribuer ce rôle. Vous pouvez également attribuer ce rôle aux utilisateurs ou groupes de sécurité universels. Cependant, nous vous recommandons de limiter l’attribution de rôles aux utilisateurs et groupes de sécurité universels car de telles attributions risquent d’augmenter sensiblement la complexité de votre modèle d’autorisations.
Pour attribuer ce rôle à d’autres personnes, il doit être attribué à un groupe de rôles, dont vous faites partie, directement à vous ou à un groupe de sécurité universel dont vous êtes membre, en utilisant une attribution de rôle de délégation. Pour plus d’informations sur les attributions de rôle de délégation, consultez la section « Attributions de rôles normales et de délégation ».
Vous pouvez également supprimer ce rôle à partir des groupes de rôles intégrés, des groupes de rôles que vous créez, des utilisateurs et des groupes de sécurité universels. Toutefois, il doit toujours y avoir au moins une attribution de rôle de délégation entre ce rôle et un groupe de rôles ou un groupe de sécurité universel. Vous ne pouvez pas supprimer la dernière attribution de rôle de délégation. Cette limitation permet de vous empêcher de vous déconnecter du système.
Important : |
---|
Il doit toujours y avoir au moins une attribution de rôle de délégation entre ce rôle et un groupe de rôles ou un groupe de sécurité universel. Vous ne pouvez pas supprimer la dernière attribution de rôle de délégation associée à ce rôle si la dernière attribution est affectée à un utilisateur. |
Pour plus d’informations sur la manière d’ajouter ou de supprimer des attributions entre ce rôle et les groupes de rôles, les utilisateurs et les groupes de sécurité universels, consultez les rubriques suivantes :
Ajouter un rôle à un utilisateur ou un groupe de sécurité universel
Supprimer un rôle d’un utilisateur ou d’un groupe de sécurité universel
Modification des étendues de gestions sur les attributions de rôles
Vous pouvez également modifier les étendues de gestion sur les attributions de rôles existantes entre ce rôle et les personnes affectées au rôle. En modifiant les étendues sur ces attributions de rôles, vous contrôlez les objets qui peuvent être gérés à l’aide des autorisations fournies par ce rôle. Vous pouvez modifier l’étendue sur une attribution de rôle de plusieurs manières. Vous pouvez effectuer l’une des opérations suivantes :
Ajouter une étendue personnalisée à l’aide de la cmdlet Set-ManagementRoleAssignment. Pour plus d’informations, voir les rubriques suivantes :
Ajouter ou modifier une étendue de l’unité d’organisation à l’aide de la cmdlet Set-ManagementRoleAssignment. Pour plus d’informations, voir Modifier une attribution de rôle.
Ajouter ou modifier une étendue prédéfinie à l’aide de la cmdlet Set-ManagementRoleAssignment. Pour plus d’informations, voir Modifier une attribution de rôle.
Modifier l’étendue d’un destinataire, d’un serveur ou d’une base de données sur une étendue personnalisée associée à une attribution de rôle à l’aide de la cmdlet Set-ManagementScope. Pour plus d’informations, voir Modifier une étendue de rôle.
Activation ou désactivation des attributions de rôles
En activant ou en désactivant une attribution de rôle, vous contrôlez si cette attribution est effective ou non. Si une attribution de rôle est désactivée, les autorisations accordées par le rôle associé ne sont pas appliquées à la personne affectée au rôle. C’est commode si vous souhaitez temporairement supprimer des autorisations sans supprimer une attribution de rôle. Pour plus d’informations, consultez la rubrique Modifier une attribution de rôle.
Attributions de rôles de gestion par défaut
Ce rôle a des attributions de rôle pour une ou plusieurs personnes affectées au rôle. Le tableau suivant indique si l’attribution de rôle est normale ou déléguée. Il indique également les étendues de gestion appliquées à chaque attribution. La liste suivante décrit chaque colonne :
Attribution normale Les attributions de rôle normales permettent à la personne affectée au rôle d’accéder aux autorisations fournies par les entrées de rôle de gestion pour ce dernier.
Attribution de délégation Les attributions de rôle de délégation donnent à la personne affectée au rôle la possibilité de l’attribuer à des groupes de rôles, utilisateurs ou groupes de sécurité universels.
Étendue de lecture du destinataire L’étendue de lecture du destinataire détermine les objets destinataires que la personne affectée au rôle est autorisée à lire à partir d’Active Directory.
Étendue d’écriture du destinataire L’étendue d’écriture du destinataire détermine les objets destinataires que la personne affectée au rôle est autorisée à modifier dans Active Directory.
Étendue de lecture de configuration L’étendue de lecture de configuration détermine les objets serveur et de configuration que la personne affectée au rôle est autorisée à lire à partir d’Active Directory.
Étendue d’écriture de configuration L’étendue d’écriture de configuration détermine les objets serveur et d’organisation que la personne affectée au rôle est autorisée à modifier dans Active Directory.
Attributions de rôles de gestion par défaut pour ce rôle
Groupe de rôles | Attribution normale | Attribution de délégation | Étendue de lecture du destinataire | Étendue d’écriture du destinataire | Étendue de lecture de configuration | Étendue d’écriture de configuration |
---|---|---|---|---|---|---|
X |
X |
|
|
|
|
Personnalisation du rôle de gestion
Ce rôle a été configuré pour fournir aux personnes affectées au rôle toutes les cmdlets nécessaires, ainsi que leurs paramètres, pour gérer les fonctions et composants répertoriés au début de cette rubrique. D’autres rôles ont également été fournis pour activer la gestion d’autres fonctions. En ajoutant et en supprimant des rôles dans des groupes de rôles, vous pouvez créer un modèle d’autorisations personnalisées sans personnaliser des rôles de gestion individuels. Pour obtenir une liste complète de rôles, consultez la rubrique Rôles de gestion intégrés. Pour plus d’informations sur la manière de personnaliser ce groupe de rôles, voir les rubriques suivantes :
Si vous décidez que vous avez besoin de créer une version personnalisée de ce rôle, vous devez créer un rôle enfant et personnaliser le nouveau rôle.
Attention : |
---|
Les informations suivantes vous permettent de gérer les autorisations de manière avancée. La personnalisation des rôles de gestion peut augmenter considérablement la complexité de votre modèle d’autorisations. Vous risquez d’interrompre le fonctionnement de certaines fonctions si vous remplacez le rôle de gestion intégré par un rôle personnalisé et configuré de manière incorrecte. |
Les étapes suivantes sont celles les plus courantes pour créer un rôle personnalisé et l’attribuer à une personne affectée au rôle :
Créez une copie de ce rôle à l’aide de la cmdlet New-ManagementRole. Pour plus d’informations, voir Créer un rôle.
Modifiez ou supprimez les entrées de rôle sur le nouveau rôle à l’aide des cmdlets Set-ManagementRoleEntry et Remove-ManagementRoleEntry. Vous ne pouvez pas ajouter d’entrées de rôles au nouveau rôle car il ne peut contenir que les entrées de rôle sur le rôle intégré parent. Pour plus d’informations, voir les rubriques suivantes :
Si vous souhaitez remplacer le rôle intégré par le nouveau rôle personnalisé, supprimez toute attribution de rôle associée au rôle intégré à l’aide de la cmdlet Remove-ManagementRoleAssignment. Pour plus d’informations, voir les rubriques suivantes :
Ajoutez le nouveau rôle personnalisé aux personnes affectées au rôle requis à l’aide de la cmdlet New-ManagementRoleAssignment. Pour plus d’informations, voir les rubriques suivantes :
Ajouter un rôle à un utilisateur ou un groupe de sécurité universel
Important : Si vous souhaitez que les autres utilisateurs, en plus de l’utilisateur qui a créé le rôle, puissent attribuer le nouveau rôle personnalisé, assurez-vous d’ajouter une attribution de rôle de délégation à au moins une personne affectée au rôle. Pour plus d’informations, voir Déléguer les attributions de rôles.
© 2010 Microsoft Corporation. Tous droits réservés.