Présentation des portées du rôle de gestionUnderstanding management role scopes

 

S’applique à:: Exchange Online, exchange Server 2013Applies to:: Exchange Online, Exchange Server 2013

Les étendues des rôles de gestion permettent de définir l’étendue spécifique de l’impact ou de l’influence d’un rôle de gestion lorsqu’une attribution de rôle de gestion est créée.Management role scopes enable you to define the specific scope of impact or influence of a management role when a management role assignment is created. Lorsque vous appliquez une étendue, la personne attribuée au rôle ne peut que modifier les objets contenus dans cette étendue.When you apply a scope, the role assignee assigned to the role can only modify the objects contained within that scope. Une personne attribuée au rôle peut être un groupe de rôles de gestion, un rôle de gestion, une stratégie d'attribution de rôle de gestion, un utilisateur ou un groupe de sécurité universel.A role assignee can be a management role group, management role, management role assignment policy, user, or universal security group (USG). Pour plus d'informations sur les rôles de gestion, voir Présentation du contrôle d'accès basé sur un rôle.For more information about management roles, see Understanding Role Based Access Control.

Notes

Cette rubrique traite de la fonctionnalité RBAC avancée. Si vous souhaitez gérer des autorisations Exchange 2013 de base, comme l'utilisation du centre d'administration Exchange pour ajouter et supprimer des membres dans les groupes de rôles, créer et modifier des groupes de rôles ou créer et modifier des stratégies d'attribution de rôles, consultez la rubrique Autorisations.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Chaque rôle de gestion, qu'il soit intégré ou personnalisé, a des étendues de gestion. Une étendue de gestion peut être :Every management role, whether it's a built-in role or a custom role, has management scopes. Management scopes can be either of the following:

  • Normal: une étendue normale n’est pas exclusive.Regular: A regular scope isn't exclusive. Il détermine où, dans Active Directory, les objets peuvent être affichés ou modifiés par les utilisateurs auxquels le rôle de gestion est attribué.It determines where, in Active Directory, objects can be viewed or modified by users assigned the management role. En règle générale, un rôle de gestion indique ce que vous pouvez créer ou modifier, et une étendue de rôle de gestion indique où vous pouvez créer ou modifier.In general, a management role indicates what you can create or modify, and a management role scope indicates where you can create or modify. Les étendues normales peuvent être des étendues implicites ou explicites, qui sont abordées dans la suite de cette rubrique.Regular scopes can be either implicit or explicit scopes, both of which are discussed later in this topic.

  • Exclusif: une étendue exclusive se comporte presque de la même manière qu’une étendue normale.Exclusive: An exclusive scope behaves almost the same as a regular scope. La principale différence réside dans le fait qu'elle permet de refuser l'accès aux objets contenus dans l'étendue exclusive si les utilisateurs ne se voient pas attribuer un rôle associé à l'étendue exclusive.The key difference is that it enables you to deny users access to objects contained within the exclusive scope if those users aren't assigned a role associated with the exclusive scope. Toutes les étendues exclusives sont explicites, comme cela est décrit plus loin dans cette rubrique.All exclusive scopes are explicit scopes, which are discussed later in this topic.

    Pour plus d'informations sur les étendues exclusives, voir Présentation des étendues exclusives.For more information about exclusive scopes, see Understanding exclusive scopes.

Les étendues peuvent être héritées du rôle de gestion, définies comme une étendue relative prédéfinie sur une attribution de rôle de gestion ou créées à l’aide de filtres personnalisés et ajoutées à une attribution de rôle de gestion. Les étendues héritées des rôles de gestion s’appellent étendues implicites et les étendues prédéfinies et personnalisées s’appellent étendues explicites. Les sections suivantes décrivent chaque type d’étendue :Scopes can be inherited from the management role, specified as a predefined relative scope on a management role assignment, or created using custom filters and added to a management role assignment. Scopes inherited from management roles are called implicit scopes while predefined and custom scopes are called explicit scopes. The following sections describe each type of scope:

  • Implicit ScopesImplicit Scopes

  • Explicit ScopesExplicit Scopes

  • Predefined Relative ScopesPredefined Relative Scopes

  • Custom ScopesCustom Scopes

    • Recipient Filter ScopesRecipient Filter Scopes

    • Configuration ScopesConfiguration Scopes

Chaque rôle peut posséder les types d’étendue suivants :Each role can have the following types of scopes:

  • Étendue de lecture du destinataire: l’étendue de lecture du destinataire implicite détermine les objets destinataire que l’utilisateur auquel le rôle de gestion est attribué est autorisé à lire dans Active Directory.Recipient read scope: The implicit recipient read scope determines what recipient objects the user assigned the management role is allowed to read from Active Directory.

  • Étendue d’écriture du destinataire: l’étendue implicite d’écriture du destinataire détermine les objets destinataire que l’utilisateur auquel le rôle de gestion est attribué est autorisé à modifier dans Active Directory.Recipient write scope: The implicit recipient write scope determines what recipient objects the user assigned the management role is allowed to modify in Active Directory.

  • Étendue de lecture de configuration: l’étendue de lecture de configuration implicite détermine les objets de configuration que l’utilisateur auquel le rôle de gestion est attribué est autorisé à lire dans Active Directory.Configuration read scope: The implicit configuration read scope determines what configuration objects the user assigned the management role is allowed to read from Active Directory.

  • Étendue d’écriture de configuration: l’étendue implicite d’écriture de configuration détermine les objets de serveur, de base de données et d’organisation auxquels l’utilisateur auquel le rôle de gestion est attribué est autorisé à modifier dans Active Directory.Configuration write scope: The implicit configuration write scope determines what organizational, database, and server objects the user assigned the management role is allowed to modify in Active Directory.

Les objets destinataire incluent des boîtes aux lettres, des groupes de distribution, des utilisateurs à extension messagerie et d'autres objets. Les objets de configuration incluent les serveurs exécutant Microsoft Exchange Server 2013 ainsi que les bases de données sur les serveurs exécutant Exchange. Chaque type d'étendue peut être implicite ou explicite.Recipient objects include mailboxes, distribution groups, mail enabled users, and other objects. Configuration objects include servers running Microsoft Exchange Server 2013, and databases located on servers running Exchange. Each type of scope can be either an implicit scope or explicit scope.

Étendues implicitesImplicit scopes

Les étendues implicites sont des étendues par défaut qui s'appliquent à un type de rôle de gestion. Étant donné que les étendues implicites sont associées à un type de rôle de gestion, tous les rôles de gestion parent et enfant de même type ont également les mêmes étendues implicites. Les étendues implicites s'appliquent aux deux rôles de gestion intégrés et également à ceux personnalisés. Pour plus d'informations sur les rôles de gestion et leurs types, voir Présentation des rôles de gestion.Implicit scopes are the default scopes that apply to a management role type. Because implicit scopes are associated with a management role type, all of the parent and child management roles with the same role type also have the same implicit scopes. Implicit scopes apply to both built-in management roles and also to custom management roles. For more information about management roles and management role types, see Understanding management roles.

Les tableaux suivants répertorient toutes les étendues implicites qui peuvent être définies sur les rôles de gestion.The following tables list all of the implicit scopes that can be defined on management roles.

Étendues implicites définies sur les rôles de gestionImplicit scopes defined on management roles

Étendues implicitesImplicit scopes DescriptionDescription

Organization

Si Organization est présent dans l’étendue d’écriture du destinataire du rôle, le rôle peut créer ou modifier des objets destinataire dans l’organisation Exchange.If Organization is present in the role's recipient write scope, the role can create or modify recipient objects across the Exchange organization.

Si Organization est présent dans l’étendue de lecture du destinataire du rôle, les rôles peuvent afficher n’importe quel objet destinataire au sein de l’organisation Exchange.If Organization is present in the role's recipient read scope, roles can view any recipient object across the Exchange organization.

Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire.This scope is used only with recipient read and write scopes.

MyGAL

Si MyGAL est présent dans l’étendue d’écriture du destinataire du rôle, le rôle peut afficher les propriétés de n’importe quel destinataire dans la liste d’adresses globale (LAG) de l’utilisateur actuel.If MyGAL is present in the role's recipient write scope, the role can view the properties of any recipient within the current user's global address list (GAL).

Si MyGAL se trouve dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher les propriétés de n’importe quel destinataire au sein de la liste d’adresses globale actuelle.If MyGAL is present in the role's recipient read scope, the role can view the properties of any recipient within the current GAL.

Cette étendue est utilisée uniquement avec les étendues de lecture du destinataire.This scope is used only with recipient read scopes.

Self

Si Self est présent dans l’étendue d’écriture du destinataire du rôle, le rôle peut modifier uniquement les propriétés de la boîte aux lettres de l’utilisateur actuel.If Self is present in the role's recipient write scope, the role can modify only the properties of the current user's mailbox.

Si Self est présent dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher uniquement les propriétés de la boîte aux lettres de l’utilisateur actuel.If Self is present in the role's recipient read scope, the role can view only the properties of the current user's mailbox.

Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire.This scope is used only with recipient read and write scopes.

MyDistributionGroups

Si MyDistributionGroups est présent dans l’étendue d’écriture du destinataire du rôle, le rôle peut créer ou modifier les objets de liste de distribution appartenant à l’utilisateur actuel.If MyDistributionGroups is present in the role's recipient write scope, the role can create or modify distribution list objects owned by the current user.

Si MyDistributionGroups est présent dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher les objets de liste de distribution appartenant à l’utilisateur actuel.If MyDistributionGroups is present in the role's recipient read scope, the role can view distribution list objects owned by the current user.

Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire.This scope is used only with recipient read and write scopes.

OrganizationConfig

Si OrganizationConfig est présent dans l’étendue d’écriture de configuration du rôle, le rôle peut créer ou modifier un objet de configuration de serveur ou de base de données au sein de l’organisation Exchange.If OrganizationConfig is present in the role's configuration write scope, the role can create or modify any server or database configuration object across the Exchange organization.

Si OrganizationConfig est présent dans l’étendue de lecture de configuration du rôle, le rôle peut afficher n’importe quel serveur ou objet de configuration de base de données au sein de l’organisation Exchange.If OrganizationConfig is present in the role's configuration read scope, the role can view any server or database configuration object across the Exchange organization.

Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture de configuration.This scope is used only with configuration read and write scopes.

None

Si None se trouve dans une étendue, cette étendue n’est pas disponible pour le rôle.If None is in a scope, that scope isn't available to the role. Par exemple, un rôle qui a None dans l’étendue d’écriture du destinataire ne peut pas modifier les objets destinataire dans l’organisation Exchange.For example, a role that has None in the recipient write scope can't modify recipient objects in the Exchange organization.

Si un rôle est attribué à une personne et qu'aucune étendue prédéfinie ou personnalisée n'est spécifiée, les étendues implicites définies sur le rôle sont utilisées pour contrôler les objets destinataire ou organisation que l'utilisateur peut afficher ou modifier.If a role is assigned to a role assignee and no predefined or custom scopes are specified, the implicit scopes defined on the role are used to control the recipient or organization objects the user can view or modify.

L'étendue d'écriture implicite d'un rôle est toujours égale à ou inférieure à l'étendue de lecture implicite. Cela signifie qu'un rôle ne peut jamais modifier des objets invisibles par l'étendue.The implicit write scope of a role is always equal to, or less than, the implicit read scope. This means that a role can never modify objects that can't be seen by the scope.

Vous ne pouvez pas modifier les étendues implicites définies sur les rôles de gestion.You can't change the implicit scopes defined on management roles. Vous pouvez, toutefois, remplacer l'étendue d'écriture implicite et l'étendue de configuration sur un rôle de gestion.You can, however, override the implicit write scope and configuration scope on a management role. Lorsqu'une étendue relative prédéfinie ou une étendue personnalisée est utilisée sur une attribution de rôle, l'étendue d'écriture implicite est remplacée et la nouvelle étendue devient prioritaire.When a predefined relative scope or custom scope is used on a role assignment, the implicit write scope of the role is overridden, and the new scope takes precedence. L'étendue de lecture implicite d'un rôle ne peut pas être remplacée et s'applique toujours.The implicit read scope of a role can't be overridden and always applies. Pour plus d’informations, consultez la rubrique étendues relatives prédéfinies et étendues personnalisées.For more information, see Predefined Relative Scopes and Custom Scopes.

Le tableau suivant répertorie tous les rôles de gestion intégrés et leurs étendues implicites. Pour plus d'informations sur les groupes de rôles intégrés, consultez la rubrique Rôles de gestion intégrés.Expand the following table to see a list of all the built-in management roles and their implicit scopes. For more information about each built-in role, see Built-in management roles.

Étendues implicites des rôles de gestion intégrésBuilt-in management role implicit scopes

Rôle de gestionManagement role Étendue de lecture du destinataireRecipient read scope Étendue d’écriture du destinataireRecipient write scope Configuration de l’étendue de lectureConfiguration read scope Configuration de l’étendue d’écritureConfiguration write scope

Active Directory Permissions

Organization

Organization

OrganizationConfig

OrganizationConfig

Address Lists

Organization

Organization

OrganizationConfig

OrganizationConfig

ApplicationImpersonation

Organization

Organization

None

None

ArchiveApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Audit Logs

Organization

Organization

OrganizationConfig

OrganizationConfig

Cmdlet Extension Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Data Loss Prevention

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Availability Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Copies

Organization

Organization

OrganizationConfig

OrganizationConfig

Databases

Organization

Organization

OrganizationConfig

OrganizationConfig

Disaster Recovery

Organization

Organization

OrganizationConfig

OrganizationConfig

Distribution Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Edge Subscriptions

Organization

Organization

OrganizationConfig

OrganizationConfig

E-Mail Address Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Server Certificates

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Servers

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Virtual Directories

Organization

Organization

OrganizationConfig

OrganizationConfig

Federated Sharing

Organization

Organization

OrganizationConfig

OrganizationConfig

Information Rights Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Journaling

Organization

Organization

OrganizationConfig

OrganizationConfig

Legal Hold

Organization

Organization

OrganizationConfig

None

LegalHoldApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Enabled Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipient Creation

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipients

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Tips

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Import Export

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Search

Organization

Organization

None

None

MailboxSearchApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Message Tracking

Organization

Organization

OrganizationConfig

OrganizationConfig

Migration

Organization

Organization

OrganizationConfig

OrganizationConfig

Monitoring

Organization

Organization

OrganizationConfig

OrganizationConfig

Move Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

OfficeExtensionApplication

Self

Self

OrganizationConfig

OrganizationConfig

My Custom Apps

Self

Self

OrganizationConfig

OrganizationConfig

My Marketplace Apps

Self

Self

OrganizationConfig

OrganizationConfig

MyAddressInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyBaseOptions

Self

Self

OrganizationConfig

OrganizationConfig

MyContactInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyDiagnostics

Self

Self

OrganizationConfig

OrganizationConfig

MyDisplayName

Self

Self

OrganizationConfig

OrganizationConfig

MyDistributionGroupMembership

MyGAL

MyGAL

None

None

MyDistributionGroups

MyGAL

MyDistributionGroups

OrganizationConfig

None

MyMobileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyName

Self

Self

OrganizationConfig

OrganizationConfig

MyPersonalInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyProfileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyRetentionPolicies

Self

Self

OrganizationConfig

OrganizationConfig

MyTeamMailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

MyTextMessaging

Self

Self

OrganizationConfig

OrganizationConfig

MyVoiceMail

Self

Self

OrganizationConfig

OrganizationConfig

Organization Client Access

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Configuration

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Transport Settings

Organization

Organization

OrganizationConfig

OrganizationConfig

POP3 And IMAP4 Protocols

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Receive Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Recipient Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Remote and Accepted Domains

Organization

Organization

OrganizationConfig

OrganizationConfig

Reset Password

Organization

Organization

OrganizationConfig

OrganizationConfig

Retention Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Security Group Creation and Membership

Organization

Organization

OrganizationConfig

OrganizationConfig

Send Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Support Diagnostics

Organization

Organization

OrganizationConfig

OrganizationConfig

TeamMailboxLifecycleApplication

Self

Self

OrganizationConfig

OrganizationConfig

Transport Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Hygiene

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Queues

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Rules

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Prompts

Organization

Organization

OrganizationConfig

OrganizationConfig

Unified Messaging

Organization

Organization

OrganizationConfig

OrganizationConfig

UnScoped Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

UserApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

User Options

Organization

Organization

OrganizationConfig

OrganizationConfig

View-Only Audit Logs

Organization

None

OrganizationConfig

None

View-Only Configuration

Organization

None

OrganizationConfig

None

View-Only Recipients

Organization

None

OrganizationConfig

None

WorkloadManagement

Organization

Organization

OrganizationConfig

OrganizationConfig

Étendues explicitesExplicit scopes

Les étendues explicites sont des étendues que vous définissez vous-même pour contrôler les objets qu'un rôle de gestion peut modifier. Alors que les étendues implicites sont définies sur un rôle de gestion, les étendues explicites le sont sur une attribution de rôle de gestion. Ainsi, les étendues implicites sont appliquées systématiquement à tous les rôles de gestion à moins que vous choisissiez d'utiliser une étendue explicite de remplacement. Pour plus d'informations sur les attributions de rôle de gestion, voir Présentation des attributions de rôles de gestion.Explicit scopes are scopes that you set yourself to control which objects a management role can modify. Although implicit scopes are defined on a management role, explicit scopes are defined on a management role assignment. This enables the implicit scopes to be applied consistently across all management roles unless you choose to use an overriding explicit scope. For more information about management role assignments, see Understanding management role assignments.

Les étendues explicites remplacent les étendues de configuration et d'écriture implicites d'un rôle de gestion. Elles ne remplacent pas l'étendue de lecture implicite d'un rôle de gestion. L'étendue de lecture implicite continue à définir les objets lisibles par le rôle de gestion.Explicit scopes override the implicit write and configuration scopes of a management role. They don't override the implicit read scope of a management role. The implicit read scope continues to define what objects the management role can read.

Les étendues explicites sont utiles lorsque l'étendue d'écriture implicite d'un rôle de gestion ne répond pas à vos besoins.Explicit scopes are useful when the implicit write scope of a management role doesn't meet the needs of your business. Vous pouvez ajouter une étendue explicite pour inclure à peu près tout ce que vous voulez tant que la nouvelle étendue ne dépasse pas les limites de l'étendue de lecture implicite.You can add an explicit scope to include nearly anything you want as long as the new scope doesn't exceed the bounds of the implicit read scope. Les cmdlets faisant partie d'un rôle de gestion doivent pouvoir lire les informations sur les objets ou les conteneurs d'objets pour pouvoir créer ou modifier les objets.The cmdlets that are part of a management role must be able to read information about the objects or containers that contain objects for the cmdlets to create or modify objects. Par exemple, si l’étendue de lecture implicite sur un rôle de gestion Selfest définie sur, vous ne pouvez pas ajouter Organization une étendue d’écriture explicite, car l’étendue d’écriture explicite dépasse les limites de l’étendue de lecture implicite.For example, if the implicit read scope on a management role is set to Self, you can't add an explicit write scope of Organization because the explicit write scope exceeds the bounds of the implicit read scope.

Pour plus d’informations, voir les ressources suivantes :For more information, see the following sections:

  • Predefined Relative ScopesPredefined Relative Scopes

  • Custom ScopesCustom Scopes

Étendues relatives prédéfiniesPredefined relative scopes

Exchange 2013 propose plusieurs étendues d'écriture relatives prédéfinies que vous pouvez utiliser pour modifier l'étendue d'un rôle de gestion.Exchange 2013 provides several predefined relative write scopes that you can use to modify scope of a management role. Les étendues relatives prédéfinies répondent plus précisément à vos besoins sans avoir à créer manuellement des étendues personnalisées.Predefined relative scopes provide an easy way for you to more closely match the needs of your business without having to create custom scopes manually. Elles s'appellent étendues relatives, car elles sont relatives à la personne à laquelle l'attribution de rôle associée est affectée.They're called relative scopes because they're relative to the role assignee to which the associated role assignment is assigned. Par exemple, l' Self étendue relative prédéfinie limite cette étendue d’écriture à l’utilisateur actuel uniquement.For example, the Self predefined relative scope restricts that write scope to the current user only. L' MyDistributionGroups étendue relative prédéfinie limite l’étendue d’écriture au groupe de distribution dont l’utilisateur actuel est propriétaire.The MyDistributionGroups predefined relative scope restricts the write scope to the distribution group the current user owns only. Les étendues relatives prédéfinies sont uniquement utilisables pour délimiter les objets destinataire.Predefined relative scopes can only be used to scope recipient objects. Les étendues relatives prédéfinies ne peuvent pas être utilisées pour délimiter les objets configuration.Predefined relative scopes can't be used to scope configuration objects. Le tableau suivant répertorie les étendues relatives prédéfinies que vous pouvez utiliser.The following table lists the predefined relative scopes that you can use.

Étendues relatives prédéfiniesPredefined relative scopes

Étendues implicitesImplicit scopes DescriptionDescription

Organization

Si Organization est présent dans l’étendue d’écriture du destinataire du rôle, le rôle peut créer ou modifier des objets destinataire dans l’organisation Exchange.If Organization is present in the role's recipient write scope, the role can create or modify recipient objects across the Exchange organization.

Si Organization est présent dans l’étendue de lecture du destinataire du rôle, les rôles peuvent afficher n’importe quel objet destinataire au sein de l’organisation Exchange.If Organization is present in the role's recipient read scope, roles can view any recipient object across the Exchange organization.

Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire.This scope is used only with recipient read and write scopes.

Self

Si Self est présent dans l’étendue d’écriture du destinataire du rôle, le rôle peut modifier uniquement les propriétés de la boîte aux lettres de l’utilisateur actuel.If Self is present in the role's recipient write scope, the role can modify only the properties of the current user's mailbox.

Si Self est présent dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher uniquement les propriétés de la boîte aux lettres de l’utilisateur actuel.If Self is present in the role's recipient read scope, the role can view only the properties of the current user's mailbox.

Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire.This scope is used only with recipient read and write scopes.

MyDistributionGroups

Si MyDistributionGroups est présent dans l’étendue d’écriture du destinataire du rôle, le rôle peut créer ou modifier les objets de liste de distribution appartenant à l’utilisateur actuel.If MyDistributionGroups is present in the role's recipient write scope, the role can create or modify distribution list objects owned by the current user.

Si MyDistributionGroups est présent dans l’étendue de lecture du destinataire du rôle, le rôle peut afficher les objets de liste de distribution appartenant à l’utilisateur actuel.If MyDistributionGroups is present in the role's recipient read scope, the role can view distribution list objects owned by the current user.

Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire.This scope is used only with recipient read and write scopes.

Les étendues relatives prédéfinies sont appliquées lorsque vous créez une nouvelle attribution de rôle de gestion.Predefined relative scopes are applied when you create a new management role assignment. Lors de la création de l’attribution de rôle, à l’aide de la cmdlet New-ManagementRoleAssignment , vous pouvez spécifier une étendue relative prédéfinie à l’aide du paramètre RecipientRelativeWriteScope .During the creation of the role assignment, using the New-ManagementRoleAssignment cmdlet, you can specify a predefined relative scope using the RecipientRelativeWriteScope parameter. Lorsque la nouvelle attribution de rôle est créée, le nouveau rôle prédéfini remplace l'étendue d'écriture implicite du rôle de gestion.When the new role assignment is created, the new predefined role overrides the implicit write scope of the management role. Vous ne pouvez pas spécifier une étendue de destinataire personnalisée lorsque vous créez une attribution de rôle avec une étendue relative prédéfinie.You can't specify a custom recipient scope when you create a role assignment with a predefined relative scope. En revanche, vous pouvez spécifier une étendue de configuration personnalisée, si nécessaire.You can, however, specify a custom configuration scope if needed.

Pour plus d'informations sur l'ajout d'une attribution de rôle de gestion à une étendue relative prédéfinie, voir Ajouter un rôle à un utilisateur ou un groupe de sécurité universel.For more information about how to add a management role assignment with a predefined relative scope, see Add a role to a user or USG.

Étendues personnaliséesCustom scopes

Les étendues personnalisées sont nécessaires lorsque ni l’étendue d’écriture implicite ni l’étendue relative prédéfinie ne répondent pas à vos besoins. Les étendues personnalisées permettent de définir plus précisément l’étendue à laquelle le rôle de gestion sera appliqué. Par exemple, vous voudrez peut-être cibler une unité d’organisation spécifique, un type de destinataire particulier ou les deux. Ou vous pourriez vouloir seulement permettre à un groupe d’administrateurs de gérer un ensemble spécifique de bases de données de boîtes aux lettres.Custom scopes are needed when neither the implicit write scope nor the predefined relative scopes meet the needs of your business. Custom scopes enable you to define, at a granular level, the scope to which your management role will be applied. For example, you might want to target a specific organizational unit (OU), a specific type of recipient, or both. Or, you might only want to allow a group of administrators to be able to manage a specific set of mailbox databases.

Comme pour les étendues relatives prédéfinies, les étendues personnalisées remplacent les étendues de configuration d'organisation et d'écriture implicite définies sur les rôles de gestion. L'étendue de lecture implicite sur les rôles de gestion continue à s'appliquer et l'étendue personnalisée obtenue ne doit pas dépasser les limites de l'étendue de lecture implicite. Vous pouvez créer les trois types d'étendue personnalisée suivants :As with predefined relative scopes, custom scopes override the implicit write and organization configuration scopes defined on management roles. The implicit read scope on management roles continue to apply and the resulting custom scope must not exceed the boundaries of the implicit read scope. You can create the following three types of custom scopes:

  • Étendue d’unitéd’organisation: une étendue d’unité d’organisation, qui est l’étendue personnalisée la plus simple, est créée à l’aide du paramètre RecipientOrganizationalUnitScope sur la cmdlet New-ManagementRoleAssignment .OU scope: An OU scope, which is the simplest custom scope, is created using the RecipientOrganizationalUnitScope parameter on the New-ManagementRoleAssignment cmdlet. En spécifiant une étendue d'unité d'organisation lorsqu'un rôle est attribué, l'utilisateur auquel le rôle est attribué peut modifier uniquement les objets destinataire contenus dans cette unité d'organisation.By specifying an OU scope when a role is assigned, the role assignee assigned the role can modify only recipient objects within that OU. Pour plus d'informations sur l'ajout d'une attribution de rôle de gestion à une étendue d'unité d'organisation, voir Ajouter un rôle à un utilisateur ou un groupe de sécurité universel.For more information about how to add a management role assignment with an OU scope, see Add a role to a user or USG.

  • Étendue du filtre de destinataire: les étendues de filtre de destinataire utilisent des filtres pour cibler des destinataires spécifiques en fonction du type de destinataire ou d’autres propriétés de destinataires, telles que le service, le responsable, l’emplacement, et bien plus encore.Recipient filter scope: Recipient filter scopes use filters to target specific recipients based on recipient type or other recipient properties such as department, manager, location, and more. Pour plus d’informations, consultez la section étendues de filtre de destinataire.For more information, see the Recipient Filter Scopes section.

  • Étendue de configuration: les étendues de configuration utilisent des filtres ou des listes pour cibler des serveurs spécifiques en fonction de listes de serveurs ou de propriétés filtrables pouvant être définies sur des serveurs, tels qu’un site Active Directory ou un rôle serveur.Configuration scope: Configuration scopes use filters or lists to target specific servers based on server lists or filterable properties that can be defined on servers, such as an Active Directory site or a server role. Les étendues de configuration peuvent également utiliser les étendues de base de données pour cibler des bases de données spécifiques en fonction de listes de bases de données ou de propriétés filtrables.Configuration scopes can also use database scopes to target specific databases based on database lists or filterable database properties. Pour plus d’informations, consultez la section étendues de configuration.For more information, see the Configuration Scopes section.

Des étendues personnalisées de destinataire et de configuration, soit simples et vastes, soit complexes et précises, peuvent être créées à l'aide de la cmdlet New-ManagementScope. Lorsque vous créez une étendue de destinataire ou de configuration, seuls les objets destinataire, serveur ou base de données répondant à leurs étendues respectives sont renvoyés. Lorsque ces étendues sont appliquées à une attribution de rôle à l'aide de la cmdlet New-ManagementRoleAssignment ou Set-ManagementRoleAssignment, seuls les objets répondant aux étendues peuvent être modifiés par les personnes auxquelles est attribué le rôle. Une fois l'étendue personnalisée créée, vous ne pouvez pas changer le type d'étendue. Une étendue de destinataire est toujours une étendue de destinataire et une étendue de configuration est toujours une étendue de configuration.Simple and broad or complex and granular recipient and configuration custom scopes can be created by using the New-ManagementScope cmdlet. When you create either a recipient or configuration scope, only the recipient, server, or database objects that match their respective scopes are returned. When these scopes are applied to a role assignment using the New-ManagementRoleAssignment or Set-ManagementRoleAssignment cmdlets, only the objects that match the scopes can be modified by the role assignees who are assigned the role. After a custom scope has been created, you can't change the scope type. A recipient scope is always a recipient scope and a configuration scope is always a configuration scope.

Par défaut, une étendue personnalisée permet à une personne attribuée au rôle d'accéder à un ensemble d'objets qui répondent aux étendues définies. Toutefois, l'accès aux autres personnes attribuées au rôle auxquelles n'est pas attribuée également l'étendue identique ou équivalente n'est pas activement exclu. Toute étendue personnalisée peut accéder aux mêmes objets si les listes ou filtres de ces étendues correspondent aux mêmes objets. Pour certains objets, ce comportement n'est pas souhaité, par exemple, pour le personnel d'encadrement. Pour ces objets, vous pouvez définir des étendues exclusives. Les étendues exclusives utilisent les filtres ou listes de la même façon que les étendues normales, sauf qu'elles refusent l'accès aux objets inclus dans l'étendue à quiconque ne fait pas partie de l'étendue exclusive identique ou équivalente. Pour plus d'informations sur les étendues exclusives, voir Présentation des étendues exclusives.By default, a custom scope enables a role assignee to access a set of objects that match the scopes you define. However, they don't actively exclude access to other role assignees who aren't also assigned the same or equivalent scope. Any custom scope can access the same objects if the lists or filters on those scopes match the same objects. There might be objects where this behavior isn't wanted, such as in the case of executives. For these objects, you can define exclusive scopes. Exclusive scopes use filters or lists in the same way as regular scopes but unlike regular scopes, deny access to objects included in the scope to anyone who isn't part of the same or equivalent exclusive scope. For more information about exclusive scopes, see Understanding exclusive scopes.

Étendues filtrées de destinataireRecipient filter scopes

Les étendues filtrées de destinataire vous permettent de contrôler quels objets destinataire peuvent être gérés par les personnes auquel le rôle est attribué en évaluant une ou plusieurs propriétés d’un objet destinataire par rapport à une valeur que vous définissez dans une instruction de filtrage.Recipient filter scopes enable you to control which recipient objects role assignees can manage by evaluating one or more properties on a recipient object against a value that you specify in a filter statement. Les destinataires inclus dans des étendues de destinataire sont des boîtes aux lettres, des utilisateurs à extension messagerie, des groupes de distribution et des contacts de messagerie.Recipients included in recipient scopes are mailboxes, mail-enabled users, distribution groups and mail contacts. Seuls les destinataires correspondant au filtre spécifié peuvent être gérés par les personnes auxquelles est attribué ce rôle.Only the recipients that match the filter you specify can be managed by the role assignees assigned that role assignment. Voici un exemple d’instruction Filter: { Name -Eq "David" } Name est la propriété de l’objet Recipient évalué et David est la valeur que vous souhaitez évaluer par rapport à la propriété.An example of a filter statement is { Name -Eq "David" } where Name is the property on the recipient object that's being evaluated and David is the value you want to evaluate against the property. L'opérateur de comparaison -Eq indique que la valeur enregistrée dans la propriété doit être égale à la valeur spécifiée pour le filtre comme étant de type true.The -Eq comparison operator indicates that the value stored in the property must be equal to the value that was specified for the filter to be true. Si le filtre a la valeur true, le destinataire est inclus dans l'étendue.If the filter is true, that recipient is included in scope.

Les étendues de filtre de destinataire sont créées en spécifiant le filtre de destinataires à utiliser avec le paramètre RecipientRestrictionFilter sur la cmdlet New-ManagementScope .Recipient filter scopes are created by specifying the recipient filter to use with the RecipientRestrictionFilter parameter on the New-ManagementScope cmdlet. Par défaut, la cmdlet New-ManagementScope crée des étendues normales.By default, the New-ManagementScope cmdlet creates regular scopes. Si vous souhaitez créer une étendue exclusive, incluez le commutateur exclusive avec le paramètre RecipientRestrictionFilter .If you want to create an exclusive scope, include the Exclusive switch along with the RecipientRestrictionFilter parameter.

Lorsque vous créez un filtre de restriction destinataire, Exchange évalue le filtre fourni par rapport à chaque objet destinataire.de l'organisation par défaut.When you create a recipient restriction filter, Exchange evaluates the filter you provided against every recipient object in the organization by default. Si vous souhaitez limiter les destinataires évalués par l’étendue, vous pouvez utiliser le paramètre RecipientRoot avec le paramètre RecipientRestrictionFilter .If you want to limit which recipients the scope evaluates, you can use the RecipientRoot parameter along with the RecipientRestrictionFilter parameter. Le paramètre RecipientRoot accepte une unité d’organisation.The RecipientRoot parameter accepts an OU. Lorsque vous utilisez le paramètre RecipientRoot , Exchange évalue uniquement les destinataires inclus dans l’unité d’organisation spécifiée par rapport au filtre que vous avez fourni.When you use the RecipientRoot parameter, Exchange evaluates only the recipients included in the specified OU against the filter you provided.

Lorsque vous ajoutez une étendue de filtre de destinataire à une attribution de rôle, spécifiez le nom de la portée du destinataire dans le paramètre CustomRecipientWriteScope sur le nouveau-ManagementRoleAssignment si vous créez une nouvelle attribution de rôle, ou le ** Set-ManagementRoleAssignment** cmdlet si vous mettez à jour une attribution de rôle existante.When you add a recipient filter scope to a role assignment, specify the name of the recipient scope in the CustomRecipientWriteScope parameter on the New-ManagementRoleAssignment if you're creating a new role assignment, or the Set-ManagementRoleAssignment cmdlet if you're updating an existing role assignment. Chaque attribution de rôle peut avoir une étendue de destinataire, y compris les étendues relatives prédéfinies.Each role assignment can have one recipient scope, including predefined relative scopes. Vous pouvez ajouter une étendue de configuration à la même attribution de rôle à laquelle vous avez ajouté une étendue de destinataire.You can add one configuration scope to the same role assignment you added a recipient scope to.

Pour plus d'informations sur la syntaxe du filtre et pour obtenir la liste complète des propriétés filtrables des destinataires, voir Présentation des filtres d'attribution du rôle de gestion.For more information about filter syntax and for a full list of filterable recipient properties on recipients, see Understanding management role scope filters.

Étendues de configurationConfiguration scopes

Les éléments suivants sont les deux types d'étendues de configuration proposées dans Exchange 2013 :The following are the two types of configuration scopes offered in Exchange 2013:

  • Étendues de serveur: il existe deux types d’étendues de serveur, étendues de filtre de serveur et étendues de liste de serveurs.Server scopes: There are two types of server scopes, server filter scopes and server list scopes. Si un objet serveur est inclus dans une étendue de serveur, il est possible de gérer la configuration d'un serveur comprenant des connecteurs de réception, des files d'attente de transport, des certificats de serveur, des répertoires virtuels, etc.Server configuration, including Receive connectors, transport queues, server certificates, virtual directories, and so on, can be managed if a server object is included in a server scope.

    • Étendues de filtre serveur: les étendues de filtre serveur vous permettent de contrôler les objets de rôle que les utilisateurs peuvent gérer en évaluant une ou plusieurs propriétés sur un objet serveur par rapport à une valeur que vous spécifiez dans une instruction Filter.Server filter scopes: Server filter scopes enable you to control which server objects role assignees can manage by evaluating one or more properties on a server object against a value that you specify in a filter statement. Pour créer une étendue de filtre serveur, utilisez le paramètre ServerRestrictionFilter sur la cmdlet New-ManagementScope .To create a server filter scope, use the ServerRestrictionFilter parameter on the New-ManagementScope cmdlet.

    • Étendues de liste de serveurs: les étendues de liste de serveurs vous permettent de contrôler les objets de rôle que les utilisateurs peuvent gérer en définissant une liste de serveurs auxquels un utilisateur affecté à un rôle peut accéder.Server list scopes: Server list scopes enable you to control which server objects role assignees can manage by defining a list of servers that a role assignee can access. Pour créer une étendue de liste de serveurs, utilisez le paramètre ServerList sur la cmdlet New-ManagementScope .To create a server list scope, use the ServerList parameter on the New-ManagementScope cmdlet.

  • Étendues de basede données: il existe deux types d’étendues de base de données, étendues de filtre de base de données et étendues de liste de bases de données.Database scopes: There are two types of database scopes, database filter scopes and database list scopes. Il est possible de gérer configuration de base de données si un objet base de données est inclus dans une étendue de base de données comprenant des limites de quota de base de données, la maintenance de la base de données, la réplication des dossiers publics, le montage ou non d'une base de données, etc.Database configuration that can be managed if a database object is included in a database scope include database quota limits, database maintenance, public folder replication, whether a database is mounted, and so on. Outre la configuration de bases de données, les étendues de base de données peuvent aussi servir à contrôler les bases de données dans lesquelles des destinataires peuvent être créés.In addition to database configuration, database scopes can also be used to control which databases recipients can be created in. Si vous avez des serveurs antérieurs à Exchange 2010 SP1 dans votre organisation, consultez la section Les étendues de base de données et les versions antérieures d'Exchange plus loin dans cette rubrique.If you have pre-Exchange 2010 SP1 servers in your organization, see the Database scopes and previous versions of Exchange section later in this topic.

    • Étendues de filtre de base dedonnées: les étendues de filtre de base de données vous permettent de contrôler les utilisateurs de rôles que les utilisateurs peuvent gérer en évaluant une ou plusieurs propriétés sur un objet de base de données par rapport à une valeur que vous spécifiez dans une instruction Filter.Database filter scopes: Database filter scopes enable you to control which database objects role assignees can manage by evaluating one or more properties on a database object against a value that you specify in a filter statement. Pour créer une étendue de filtre de base de données, utilisez le paramètre DatabaseRestrictionFilter sur la cmdlet New-ManagementScope .To create a database filter scope, use the DatabaseRestrictionFilter parameter on the New-ManagementScope cmdlet.

    • Étendues de liste de bases dedonnées: les étendues de liste de bases de données vous permettent de contrôler les objets de rôle que les utilisateurs peuvent gérer en définissant une liste de bases de données auxquelles un utilisateur de rôle peut accéder.Database list scopes: Database list scopes enable you to control which database objects role assignees can manage by defining a list of databases that a role assignee can access. Pour créer une étendue de liste de bases de données, utilisez le paramètre DatabaseList sur la cmdlet New-ManagementScope .To create a database list scope, use the DatabaseList parameter on the New-ManagementScope cmdlet.

Pour plus d'informations sur la syntaxe du filtre et pour obtenir la liste complète des propriétés filtrables des serveurs et des bases de données, voir Présentation des filtres d'attribution du rôle de gestion.For more information about filter syntax and for a full list of filterable server and database properties, see Understanding management role scope filters.

Les listes de serveurs et de bases de données peuvent être définies en spécifiant chaque serveur et base de données que vous voulez inclure dans leurs étendues respectives. Plusieurs serveurs ou bases de données peuvent être spécifiés dans leurs étendues respectives en séparant les noms de serveur et de base de données par des virgules.Server and database lists can be defined by specifying each server and database you want to include in their respective scopes. Multiple servers or databases can be specified in their respective scopes by separating the server and database names with commas.

Lorsque vous ajoutez une étendue de configuration de serveur ou de base de données à une attribution de rôle, spécifiez le nom de l’étendue de configuration du serveur ou de la base de données dans le paramètre CustomConfigWriteScope de la cmdlet New-ManagementRoleAssignment si vous créez une nouvelle attribution de rôle ou la cmdlet Set-ManagementRoleAssignment si vous mettez à jour une attribution de rôle existante.When you add a server or database configuration scope to a role assignment, specify the name of the server or database configuration scope in the CustomConfigWriteScope parameter on the New-ManagementRoleAssignment cmdlet if you're creating a new role assignment, or the Set-ManagementRoleAssignment cmdlet if you're updating an existing role assignment. Chaque attribution de rôle ne peut avoir qu'une seule étendue de configuration.Each role assignment can only have one configuration scope.

Outre le fait de contrôler quelles bases de données peuvent être gérées par les personnes auxquelles le rôle est attribué, les étendues de base de données vous permettent également de contrôler dans quelles bases de données les personnes auxquelles est attribué le rôle peuvent créer des boîtes aux lettres.In addition to controlling which databases role assignees can manage, database scopes also enable you to control which databases role assignees can create mailboxes on. C'est une fonctionnalité distincte de celle de contrôler quels destinataires peuvent être gérés par une personne à laquelle le rôle a été attribué.This is separate from controlling which recipients a role assignee can manage. Si la personne à laquelle le rôle a été attribué dispose des autorisations de création d'une nouvelle boîte aux lettres, d'étendre la messagerie à un utilisateur existant ou de déplacer des boîtes aux lettres, vous pouvez alors affiner encore ces autorisations à l'aide des étendues de base de données pour contrôler la base de données dans laquelle la boîte aux lettres est créée ou dans quelle base de données une boîte aux lettres est déplacée.If a role assignee has permissions to create a new mailbox, mail-enable an existing user, or move mailboxes, you can further refine their permissions by using database scopes to control the database on which the mailbox is created, or which database a mailbox is moved to. Le contrôle des destinataires qu’une personne affectée au rôle peut gérer est réalisé à l’aide d’une étendue de destinataire spécifiée dans le paramètre CustomRecipientWriteScope de la cmdlet New-ManagementRoleAssignment ou Set-ManagementRoleAssignment .Controlling which recipients a role assignee can manage is done using a recipient scope specified in the CustomRecipientWriteScope parameter on the New-ManagementRoleAssignment or Set-ManagementRoleAssignment cmdlet. Le contrôle des bases de données sur lesquelles une boîte aux lettres peut être créée ou déplacée est contrôlé à l’aide d’une étendue de base de données spécifiée dans le paramètre CustomConfigurationWriteScope sur les mêmes cmdlets.Controlling which databases a mailbox can be created on or moved to is controlled using a database scope specified in the CustomConfigurationWriteScope parameter on the same cmdlets.

Notes

La distribution automatique des boîtes aux lettres peut être contrôlée à l'aide des étendues de base de données.Automatic mailbox distribution can be controlled using database scopes.

La gestion des fonctionnalités d'Exchange peut exiger des étendues de serveur ou de base de données, ou les deux types d'étendue. Si la gestion d'une fonctionnalité requiert à la fois des étendues de serveur et de base de données, deux attributions de rôle doivent être créées et dévolues à la personne à laquelle le rôle est attribué et possédant l'accès à la gestion de la fonctionnalité. Une attribution de rôle doit être associée à l'étendue de serveur et l'autre attribution de rôle à l'étendue de base de données.Exchange features may require either server scopes, database scopes, or both, to be managed. If a feature requires both server and database scopes to be managed, two role assignments must be created and assigned to the role assignee that should have access to manage the feature. One role assignment should be associated with the server scope, and one role assignment should be associated with the database scope.

Certaines cmdlets peuvent utiliser les étendues de configuration qui ne sont pas immédiatement évidentes. Le tableau suivant inclut une liste de cmdlets et d'étendues de configuration que vous pouvez utiliser pour contrôler leur utilisation. Pour les cmdlets incluses dans les fonctionnalités spécifiques, les étendues de configuration vous permettent de contrôler dans quelles bases de données les destinataires peuvent être créés. Elles ne contrôlent pas quels destinataires peuvent être gérés. La colonne Étendues requises peut contenir les éléments suivants :Some cmdlets may use configuration scopes that aren't immediately obvious. The following table includes a list of cmdlets and the configuration scopes that you can use to control their usage. For cmdlets included in the recipients feature area, configuration scopes enable you to control on which databases recipients can be created. They don't control which recipients can be managed. The Required scopes column can contain the following:

  • Base de données: pour exécuter l’applet de commande, l’utilisateur affecté au rôle doit disposer d’une attribution de rôle avec une étendue de base de données qui inclut la base de données à gérer ou l’étendue d’écriture de configuration implicite du rôle doit inclure la base de données à gérer.Database: To run the cmdlet, the role assignee must be assigned a role assignment with a database scope that includes the database to be managed or the role's implicit configuration write scope must include the database to be managed.

  • Serveur: pour exécuter l’applet de commande, l’utilisateur affecté au rôle doit disposer d’une attribution de rôle avec une étendue de serveur qui inclut le serveur à gérer ou que l’étendue d’écriture de configuration implicite du rôle doit inclure le serveur à gérer.Server: To run the cmdlet, the role assignee must be assigned a role assignment with a server scope that includes the server to be managed or the role's implicit configuration write scope must include the server to be managed.

  • Serveur ou base de données: pour exécuter l’applet de commande, une attribution de rôle doit être affectée à l’utilisateur du rôle lorsqu’une étendue de base de données inclut la base de données en cours de gestion ou lorsqu’une étendue de serveur inclut le serveur où se trouve la base de données.Server or database: To run the cmdlet, the role assignee must be assigned a role assignment where either a database scope includes the database being managed, or where a server scope includes the server where the database is located. Sinon, l'étendue implicite de configuration de rôle doit contenir la base à gérer ou contenir le serveur dans lequel se trouve la base de données et l'attribution de rôle ne peut pas avoir d'étendue d'écriture personnalisée.Or, the role's implicit configuration write scope must contain the database to be managed, or contain the server where the database is located, and the role assignment can't have a custom write scope.

  • Serveur et base de données: pour exécuter cette applet de commande, deux attributions de rôles doivent être affectées à la personne affectée au rôle.Server and database: To run this cmdlet, the role assignee must be assigned two role assignments. La première attribution de rôle doit inclure une étendue de base de données qui inclut la base à gérer.The first role assignment must include a database scope that includes the database to be managed. La deuxième attribution de rôle doit inclure une étendue de serveur qui inclut le serveur dans lequel se trouve la base de données.The second role assignment must include a server scope that includes the server where the database is located. Des étendues de configuration personnalisées peuvent avoir été définies pour les attributions de rôle ou ces dernières peuvent hériter d'une étendue implicite d'écriture de configuration par l'intermédiaire du rôle.The role assignments can have custom configuration scopes defined, or the role assignments can inherit the implicit configuration write scope from the role. Pour hériter de l’étendue implicite d’écriture du rôle, l’attribution de rôle ne doit pas avoir d’étendue d’écriture personnalisée.To inherit the implicit write scope from the role, the role assignment can't have a custom write scope.

Fonctionnalités et étendues de base de données et serveur applicablesFeature areas and applicable database and server scopes

FonctionnalitésFeature area Applet de commandeCmdlet Étendues requisesRequired scopes

DatabasesDatabases

Dismount-DatabaseDismount-Database

Base de donnéesDatabase

DatabasesDatabases

Mount-DatabaseMount-Database

Base de donnéesDatabase

DatabasesDatabases

Move-DatabasePathMove-DatabasePath

Serveur et base de donnéesServer and database

DatabasesDatabases

Remove-MailboxDatabaseRemove-MailboxDatabase

Serveur ou base de donnéesServer or database

Bases de donnéesDatabases

Set-MailboxDatabaseSet-MailboxDatabase

Base de donnéesDatabase

Haute disponibilitéHigh availability

Add-DatabaseAvailabilityGroupServerAdd-DatabaseAvailabilityGroupServer

ServeurServer

Disponibilité élevéeHigh availability

Add-MailboxDatabaseCopyAdd-MailboxDatabaseCopy

ServeurServer

Disponibilité élevéeHigh availability

Move-ActiveMailboxDatabaseMove-ActiveMailboxDatabase

ServeurServer

Disponibilité élevéeHigh availability

Remove-DatabaseAvailabilityGroupServerRemove-DatabaseAvailabilityGroupServer

ServeurServer

Disponibilité élevéeHigh availability

Remove-MailboxDatabaseCopyRemove-MailboxDatabaseCopy

Serveur ou base de donnéesServer or database

Disponibilité élevéeHigh availability

RESUME-MailboxDatabaseCopyResume-MailboxDatabaseCopy

Serveur ou base de donnéesServer or database

Disponibilité élevéeHigh availability

Set-MailboxDatabaseCopySet-MailboxDatabaseCopy

Serveur ou base de donnéesServer or database

Disponibilité élevéeHigh availability

Suspend-MailboxDatabaseCopySuspend-MailboxDatabaseCopy

Serveur ou base de donnéesServer or database

Disponibilité élevéeHigh availability

Update-MailboxDatabaseCopyUpdate-MailboxDatabaseCopy

Serveur ou base de donnéesServer or database

DestinatairesRecipients

Connect-MailboxConnect-Mailbox

Base de donnéesDatabase

DestinatairesRecipients

Enable-MailboxEnable-Mailbox

Base de donnéesDatabase

DestinatairesRecipients

New-MailboxNew-Mailbox

Base de donnéesDatabase

DestinatairesRecipients

New-MoveRequestNew-MoveRequest

Base de donnéesDatabase

Résolution des problèmesTroubleshooting

Test-MapiConnectivityTest-MapiConnectivity

Base de donnéesDatabase

Les étendues de base de données et les versions antérieures d’ExchangeDatabase scopes and previous versions of Exchange

Le concept des étendues de base de données a été introduit pour la première fois dans Microsoft Exchange 2010 Service Pack 1 (SP1) et continue d'être pris en charge dans Exchange 2013. Les versions d'Exchange antérieures à Exchange 2010 SP1 prennent en charge uniquement les étendues de destinataire et les étendues de configuration de serveur. Si vous créez une nouvelle étendue de base de données sur un serveur Exchange 2010 SP1 ou ultérieur, vous recevrez l'avertissement suivant :Database scopes were first introduced in Microsoft Exchange 2010 Service Pack 1 (SP1) and continue to be supported in Exchange 2013. Versions of Exchange prior to Exchange 2010 SP1 support only recipient scopes and server configuration scopes. When you create a new database scope on an Exchange 2010 SP1 or later server, you'll receive the following warning:

WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.

Lorsque vous créez une étendue de base de données, elle s'applique uniquement aux utilisateurs se connectant à des serveurs exécutant Exchange 2010 SP1 ou ultérieur. Les utilisateurs qui se connectent à des serveurs exécutant des versions antérieures à Exchange 2010 SP1 ne disposeront d'aucune attribution de rôle associée à des étendues de base de données qui leur sont appliquées. Cela signifie que les autorisations délivrées par ces attributions de rôle ne seront pas accordées aux utilisateurs se connectant à des serveurs exécutant des versions antérieures à Exchange 2010 SP1. Les étendues de base de données ne peuvent pas être créées, supprimées, modifiées ni consultées depuis des serveurs exécutant des versions antérieures à Exchange 2010 SP1.When you create a database scope, it's only applied to users who connect to servers running Exchange 2010 SP1 or later. Users who connect to pre-Exchange 2010 SP1 servers won't have any role assignments associated with database scopes applied to them. This means that any permissions provided by these role assignments won't be granted to users when they connect to pre-Exchange 2010 SP1 servers. Database scopes can't be created, removed, modified, or viewed from pre-Exchange 2010 SP1 servers.

Une étendue de base de données peut inclure n'importe quelle base de données de votre organisation Exchange. Ceci comprend des serveurs Exchange Server 2007, Exchange 2010 et Exchange 2013. Ceci vous permet de contrôler quelles bases de données peuvent être gérées par les utilisateurs, quelle que soit la version d' Exchange. Comme pour d'autres étendues de base de données, les attributions de rôles associées à des étendues contenant des bases de données Exchange 2007 et Exchange 2010 s'appliquent uniquement aux utilisateurs se connectant à un serveur Exchange 2010 SP1 ou ultérieur.A database scope can include any database in your Exchange organization. This includes Exchange Server 2007, Exchange 2010, and Exchange 2013 servers. This enables you to control which databases, regardless of Exchange version, that users can manage. As with other database scopes, role assignments associated with database scopes that contain Exchange 2007 and Exchange 2010 databases are only applied to users when they connect to an Exchange 2010 SP1 or later server.

Les utilisateurs se connectant à un serveur dont la version est antérieure à Exchange 2010 SP1 peuvent afficher et modifier les attributions de rôles associées aux étendues de base de données. Cela inclut le changement de l'étendue de configuration sur une attribution de rôle existante en une étendue de serveur si celle-ci est alors associée à une étendue de base de données. Cependant, si l'étendue de configuration sur une attribution de rôle est modifiée en étendue de serveur et si un utilisateur veut ultérieurement revenir à une étendue de base de données, ou encore passer d'une étendue de configuration à une autre étendue de base de données, cet utilisateur doit effectuer le changement lorsqu'il est connecté à un serveur Exchange 2010 SP1 ou ultérieur. Les utilisateurs ne peuvent spécifier des étendues de serveur que lorsqu'ils modifient l'étendue de configuration sur une attribution de rôle en étant connectés à un serveur dont la version est antérieure à Exchange 2010 SP1.Users who connect to a pre-Exchange 2010 SP1 server can view and modify role assignments associated with database scopes. This includes changing the configuration scope on an existing role assignment to a server scope if it's currently associated with a database scope. However, if the configuration scope on a role assignment is changed to a server scope and a user later wants to change it back to a database scope, or if the user wants to change the configuration scope to another database scope, the user must make the change while connected to an Exchange 2010 SP1 or later server. Users can only specify server scopes when they change the configuration scope on a role assignment if they're connected to a pre-Exchange 2010 SP1 server.