Présentation des portées du rôle de gestionUnderstanding management role scopes

S’applique à : Exchange Online, Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

Étendues de rôle de gestion permettent de définir l’étendue de l’impact spécifique ou influence d’un rôle de gestion lors de la création d’une attribution de rôle de gestion. Lorsque vous appliquez une étendue, la personne affectée au rôle affecté au rôle peut uniquement modifier les objets contenus dans cette étendue. Une personne affectée au rôle peut être un groupe de rôles de gestion, rôle de gestion, stratégie d’attribution de rôle de gestion, utilisateur ou groupe de sécurité universel (USG). Pour plus d’informations sur les rôles de gestion, voir Understanding Role Based Access Control.Management role scopes enable you to define the specific scope of impact or influence of a management role when a management role assignment is created. When you apply a scope, the role assignee assigned to the role can only modify the objects contained within that scope. A role assignee can be a management role group, management role, management role assignment policy, user, or universal security group (USG). For more information about management roles, see Understanding Role Based Access Control.

Note

Cette rubrique traite de la fonctionnalité RBAC avancée. Si vous souhaitez gérer des autorisations Exchange 2013 de base, comme l'utilisation du centre d'administration Exchange pour ajouter et supprimer des membres dans les groupes de rôles, créer et modifier des groupes de rôles ou créer et modifier des stratégies d'attribution de rôles, consultez la rubrique Autorisations.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Chaque rôle de gestion, qu'il soit intégré ou personnalisé, a des étendues de gestion. Une étendue de gestion peut être :Every management role, whether it's a built-in role or a custom role, has management scopes. Management scopes can be either of the following:

  • Régulière Une étendue n’est pas exclusive. Il détermine où, dans Active Directory, les objets peuvent être affichés ou modifiés par des utilisateurs au rôle de gestion. En règle générale, un rôle de gestion indique ce que vous pouvez créer ou modifier, et une étendue de rôle de gestion indique où vous pouvez créer ou modifier. Étendues régulières peuvent être étendues de relations implicites ou explicites, qui sont décrites plus loin dans cette rubrique.Regular A regular scope isn't exclusive. It determines where, in Active Directory, objects can be viewed or modified by users assigned the management role. In general, a management role indicates what you can create or modify, and a management role scope indicates where you can create or modify. Regular scopes can be either implicit or explicit scopes, both of which are discussed later in this topic.

  • Exclusif Une étendue exclusive se comporte presque identique à une étendue régulière. La principale différence est qu’il vous permet de refuser aux utilisateurs l’accès aux objets contenus dans l’étendue exclusive si les utilisateurs ne sont pas affectés à un rôle associé à l’étendue exclusive. Toutes les étendues exclusives sont explicites étendues, qui sont présentés plus loin dans cette rubrique.Exclusive An exclusive scope behaves almost the same as a regular scope. The key difference is that it enables you to deny users access to objects contained within the exclusive scope if those users aren't assigned a role associated with the exclusive scope. All exclusive scopes are explicit scopes, which are discussed later in this topic.

    Pour plus d'informations sur les étendues exclusives, voir Présentation des étendues exclusives.For more information about exclusive scopes, see Understanding exclusive scopes.

Étendues peuvent être héritées du rôle de gestion, spécifié comme une portée prédéfinie relative sur une affectation de rôle de gestion, ou créé à l’aide de filtres personnalisés et ajoutés à une attribution de rôle de gestion. Héritée de rôles de gestion des étendues sont appelés étendues implicites pendant prédéfinies et étendues personnalisées sont appelées zones explicites. Les sections suivantes décrivent chaque type d’étendue :Scopes can be inherited from the management role, specified as a predefined relative scope on a management role assignment, or created using custom filters and added to a management role assignment. Scopes inherited from management roles are called implicit scopes while predefined and custom scopes are called explicit scopes. The following sections describe each type of scope:

  • Étendues implicitesImplicit Scopes

  • Étendues explicitesExplicit Scopes

  • Étendues relatives prédéfiniesPredefined Relative Scopes

  • Étendues personnaliséesCustom Scopes

    • Étendues filtrées de destinataireRecipient Filter Scopes

    • Étendues de configurationConfiguration Scopes

Chaque rôle peut posséder les types d'étendue suivants :Each role can have the following types of scopes:

  • Étendue de lecture du destinataire Le destinataire implicite lire étendue détermine les objets destinataire que l’utilisateur affecté le rôle de gestion est autorisé à lire à partir d’Active Directory.Recipient read scope The implicit recipient read scope determines what recipient objects the user assigned the management role is allowed to read from Active Directory.

  • Destinataire l’étendue d’écriture L’étendue d’écriture du destinataire implicite détermine les objets destinataire que l’utilisateur affecté le rôle de gestion est autorisée à modifier dans Active Directory.Recipient write scope The implicit recipient write scope determines what recipient objects the user assigned the management role is allowed to modify in Active Directory.

  • Étendue de lecture De lire la configuration implicite étendue détermine de quelle configuration objets de l’utilisateur affecté le rôle de gestion est autorisée à lire à partir d’Active Directory.Configuration read scope The implicit configuration read scope determines what configuration objects the user assigned the management role is allowed to read from Active Directory.

  • Configuration de l’étendue d’écriture L’étendue d’écriture implicite détermine quelle base de données d’organisation, objets serveur et l’utilisateur affecté le rôle de gestion est autorisée à modifier dans Active Directory.Configuration write scope The implicit configuration write scope determines what organizational, database, and server objects the user assigned the management role is allowed to modify in Active Directory.

Les objets destinataire incluent des boîtes aux lettres, des groupes de distribution, des utilisateurs à extension messagerie et d'autres objets. Les objets de configuration incluent les serveurs exécutant Microsoft Exchange Server 2013 ainsi que les bases de données sur les serveurs exécutant Exchange. Chaque type d'étendue peut être implicite ou explicite.Recipient objects include mailboxes, distribution groups, mail enabled users, and other objects. Configuration objects include servers running Microsoft Exchange Server 2013, and databases located on servers running Exchange. Each type of scope can be either an implicit scope or explicit scope.

Étendues implicitesImplicit scopes

Les étendues implicites sont des étendues par défaut qui s'appliquent à un type de rôle de gestion. Étant donné que les étendues implicites sont associées à un type de rôle de gestion, tous les rôles de gestion parent et enfant de même type ont également les mêmes étendues implicites. Les étendues implicites s'appliquent aux deux rôles de gestion intégrés et également à ceux personnalisés. Pour plus d'informations sur les rôles de gestion et leurs types, voir Présentation des rôles de gestion.Implicit scopes are the default scopes that apply to a management role type. Because implicit scopes are associated with a management role type, all of the parent and child management roles with the same role type also have the same implicit scopes. Implicit scopes apply to both built-in management roles and also to custom management roles. For more information about management roles and management role types, see Understanding management roles.

Les tableaux suivants répertorient toutes les étendues implicites qui peuvent être définies sur les rôles de gestion.The following tables list all of the implicit scopes that can be defined on management roles.

Étendues implicites définies sur les rôles de gestionImplicit scopes defined on management roles

Étendues implicitesImplicit scopes DescriptionDescription

Organization

Si Organization est présent dans un destinataire du rôle l’étendue d’écriture, le rôle peut créer ou modifier des objets destinataire dans l’organisation Exchange.If Organization is present in the role's recipient write scope, the role can create or modify recipient objects across the Exchange organization.

Si Organization est présent dans du rôle étendue de lecture du destinataire, rôles peuvent afficher n’importe quel objet destinataire dans l’organisation Exchange.If Organization is present in the role's recipient read scope, roles can view any recipient object across the Exchange organization.

Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire.This scope is used only with recipient read and write scopes.

MyGAL

Si MyGAL est présent dans un destinataire du rôle l’étendue d’écriture, le rôle peut afficher les propriétés de n’importe quel destinataire dans la liste d’adresses globale (LAG) de l’utilisateur actuel.If MyGAL is present in the role's recipient write scope, the role can view the properties of any recipient within the current user's global address list (GAL).

Si MyGAL est présent dans du rôle étendue de lecture du destinataire, le rôle peut afficher les propriétés de n’importe quel destinataire dans la liste d’adresses globale en cours.If MyGAL is present in the role's recipient read scope, the role can view the properties of any recipient within the current GAL.

Cette étendue est utilisée uniquement avec les étendues de lecture du destinataire.This scope is used only with recipient read scopes.

Self

Si Self est présent dans un destinataire du rôle l’étendue d’écriture, le rôle peut modifier les propriétés de boîte aux lettres de l’utilisateur actuel.If Self is present in the role's recipient write scope, the role can modify only the properties of the current user's mailbox.

Si Self est présent dans du rôle étendue de lecture du destinataire, le rôle peut afficher uniquement les propriétés de boîte aux lettres de l’utilisateur actuel.If Self is present in the role's recipient read scope, the role can view only the properties of the current user's mailbox.

Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire.This scope is used only with recipient read and write scopes.

MyDistributionGroups

Si MyDistributionGroups est présent dans un destinataire du rôle l’étendue d’écriture, le rôle peut créer ou modifier des objets de liste de distribution détenus par l’utilisateur actuel.If MyDistributionGroups is present in the role's recipient write scope, the role can create or modify distribution list objects owned by the current user.

Si MyDistributionGroups est présent dans du rôle étendue de lecture du destinataire, le rôle peut afficher les objets de liste de distribution détenus par l’utilisateur actuel.If MyDistributionGroups is present in the role's recipient read scope, the role can view distribution list objects owned by the current user.

Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire.This scope is used only with recipient read and write scopes.

OrganizationConfig

Si OrganizationConfig est présent dans la configuration des rôles étendue d’écriture, le rôle peut créer ou modifier n’importe quel objet de configuration de serveur ou de base de données dans l’organisation Exchange.If OrganizationConfig is present in the role's configuration write scope, the role can create or modify any server or database configuration object across the Exchange organization.

Si OrganizationConfig est présent dans du rôle étendue de lecture, le rôle peut afficher n’importe quel objet de configuration de serveur ou de base de données dans l’organisation Exchange.If OrganizationConfig is present in the role's configuration read scope, the role can view any server or database configuration object across the Exchange organization.

Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture de configuration.This scope is used only with configuration read and write scopes.

None

Si None est dans une étendue, cette étendue n’est pas disponible pour le rôle. Par exemple, un rôle None dans l’écriture du destinataire étendue ne peut pas modifier les objets destinataire dans l’organisation Exchange.If None is in a scope, that scope isn't available to the role. For example, a role that has None in the recipient write scope can't modify recipient objects in the Exchange organization.

Si un rôle est attribué à une personne et qu'aucune étendue prédéfinie ou personnalisée n'est spécifiée, les étendues implicites définies sur le rôle sont utilisées pour contrôler les objets destinataire ou organisation que l'utilisateur peut afficher ou modifier.If a role is assigned to a role assignee and no predefined or custom scopes are specified, the implicit scopes defined on the role are used to control the recipient or organization objects the user can view or modify.

L'étendue d'écriture implicite d'un rôle est toujours égale à ou inférieure à l'étendue de lecture implicite. Cela signifie qu'un rôle ne peut jamais modifier des objets invisibles par l'étendue.The implicit write scope of a role is always equal to, or less than, the implicit read scope. This means that a role can never modify objects that can't be seen by the scope.

Vous ne pouvez pas modifier les étendues implicites définies sur les rôles de gestion. Vous pouvez, toutefois, remplacer l’étendue d’écriture implicite et l’étendue de configuration sur un rôle de gestion. Lorsqu’une étendue relative prédéfinie ou une étendue personnalisée est utilisée sur une attribution de rôle, l’étendue d’écriture implicite est remplacée et la nouvelle étendue devient prioritaire. L’étendue de lecture implicite d’un rôle ne peut pas être remplacée et s’applique toujours. Pour plus d’informations, voir Predefined Relative Scopes et Custom Scopes.You can't change the implicit scopes defined on management roles. You can, however, override the implicit write scope and configuration scope on a management role. When a predefined relative scope or custom scope is used on a role assignment, the implicit write scope of the role is overridden, and the new scope takes precedence. The implicit read scope of a role can't be overridden and always applies. For more information, see Predefined Relative Scopes and Custom Scopes.

Le tableau suivant répertorie tous les rôles de gestion intégrés et leurs étendues implicites. Pour plus d'informations sur les groupes de rôles intégrés, consultez la rubrique Rôles de gestion intégrés.Expand the following table to see a list of all the built-in management roles and their implicit scopes. For more information about each built-in role, see Built-in management roles.

Étendues implicites des rôles de gestion intégrésBuilt-in management role implicit scopes

Rôle de gestionManagement role Étendue de lecture du destinataireRecipient read scope Étendue d’écriture du destinataireRecipient write scope Configuration de l’étendue de lectureConfiguration read scope Configuration de l’étendue d’écritureConfiguration write scope

Active Directory Permissions

Organization

Organization

OrganizationConfig

OrganizationConfig

Address Lists

Organization

Organization

OrganizationConfig

OrganizationConfig

ApplicationImpersonation

Organization

Organization

None

None

ArchiveApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Audit Logs

Organization

Organization

OrganizationConfig

OrganizationConfig

Cmdlet Extension Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Data Loss Prevention

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Availability Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Copies

Organization

Organization

OrganizationConfig

OrganizationConfig

Databases

Organization

Organization

OrganizationConfig

OrganizationConfig

Disaster Recovery

Organization

Organization

OrganizationConfig

OrganizationConfig

Distribution Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Edge Subscriptions

Organization

Organization

OrganizationConfig

OrganizationConfig

E-Mail Address Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Server Certificates

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Servers

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Virtual Directories

Organization

Organization

OrganizationConfig

OrganizationConfig

Federated Sharing

Organization

Organization

OrganizationConfig

OrganizationConfig

Information Rights Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Journaling

Organization

Organization

OrganizationConfig

OrganizationConfig

Legal Hold

Organization

Organization

OrganizationConfig

None

LegalHoldApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Enabled Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipient Creation

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipients

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Tips

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Import Export

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Search

Organization

Organization

None

None

MailboxSearchApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Message Tracking

Organization

Organization

OrganizationConfig

OrganizationConfig

Migration

Organization

Organization

OrganizationConfig

OrganizationConfig

Monitoring

Organization

Organization

OrganizationConfig

OrganizationConfig

Move Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

OfficeExtensionApplication

Self

Self

OrganizationConfig

OrganizationConfig

My Custom Apps

Self

Self

OrganizationConfig

OrganizationConfig

My Marketplace Apps

Self

Self

OrganizationConfig

OrganizationConfig

MyAddressInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyBaseOptions

Self

Self

OrganizationConfig

OrganizationConfig

MyContactInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyDiagnostics

Self

Self

OrganizationConfig

OrganizationConfig

MyDisplayName

Self

Self

OrganizationConfig

OrganizationConfig

MyDistributionGroupMembership

MyGAL

MyGAL

None

None

MyDistributionGroups

MyGAL

MyDistributionGroups

OrganizationConfig

None

MyMobileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyName

Self

Self

OrganizationConfig

OrganizationConfig

MyPersonalInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyProfileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyRetentionPolicies

Self

Self

OrganizationConfig

OrganizationConfig

MyTeamMailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

MyTextMessaging

Self

Self

OrganizationConfig

OrganizationConfig

MyVoiceMail

Self

Self

OrganizationConfig

OrganizationConfig

Organization Client Access

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Configuration

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Transport Settings

Organization

Organization

OrganizationConfig

OrganizationConfig

POP3 And IMAP4 Protocols

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Receive Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Recipient Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Remote and Accepted Domains

Organization

Organization

OrganizationConfig

OrganizationConfig

Reset Password

Organization

Organization

OrganizationConfig

OrganizationConfig

Retention Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Security Group Creation and Membership

Organization

Organization

OrganizationConfig

OrganizationConfig

Send Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Support Diagnostics

Organization

Organization

OrganizationConfig

OrganizationConfig

TeamMailboxLifecycleApplication

Self

Self

OrganizationConfig

OrganizationConfig

Transport Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Hygiene

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Queues

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Rules

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Prompts

Organization

Organization

OrganizationConfig

OrganizationConfig

Unified Messaging

Organization

Organization

OrganizationConfig

OrganizationConfig

UnScoped Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

UserApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

User Options

Organization

Organization

OrganizationConfig

OrganizationConfig

View-Only Audit Logs

Organization

None

OrganizationConfig

None

View-Only Configuration

Organization

None

OrganizationConfig

None

View-Only Recipients

Organization

None

OrganizationConfig

None

WorkloadManagement

Organization

Organization

OrganizationConfig

OrganizationConfig

Étendues explicitesExplicit scopes

Les étendues explicites sont des étendues que vous définissez vous-même pour contrôler les objets qu'un rôle de gestion peut modifier. Alors que les étendues implicites sont définies sur un rôle de gestion, les étendues explicites le sont sur une attribution de rôle de gestion. Ainsi, les étendues implicites sont appliquées systématiquement à tous les rôles de gestion à moins que vous choisissiez d'utiliser une étendue explicite de remplacement. Pour plus d'informations sur les attributions de rôle de gestion, voir Présentation des attributions de rôles de gestion.Explicit scopes are scopes that you set yourself to control which objects a management role can modify. Although implicit scopes are defined on a management role, explicit scopes are defined on a management role assignment. This enables the implicit scopes to be applied consistently across all management roles unless you choose to use an overriding explicit scope. For more information about management role assignments, see Understanding management role assignments.

Les étendues explicites remplacent les étendues de configuration et d'écriture implicites d'un rôle de gestion. Elles ne remplacent pas l'étendue de lecture implicite d'un rôle de gestion. L'étendue de lecture implicite continue à définir les objets lisibles par le rôle de gestion.Explicit scopes override the implicit write and configuration scopes of a management role. They don't override the implicit read scope of a management role. The implicit read scope continues to define what objects the management role can read.

Étendues explicites sont utiles lors de l’étendue d’écriture implicite d’un rôle de gestion ne répond pas aux besoins de votre entreprise. Vous pouvez ajouter une étendue pour inclure presque comme vous le souhaitez tant que la nouvelle étendue ne dépasse pas les limites de l’étendue de lecture implicite explicite. Les applets de commande qui font partie d’un rôle de gestion doit être en mesure de lire les informations sur les objets conteneurs ou qui contiennent des objets pour les applets de commande Créer ou modifier des objets. Par exemple, si l’implicite étendue de lecture sur un rôle de gestion est défini sur Self, vous ne pouvez pas ajouter une étendue d’écriture explicite de Organization étendue de lecture, car l’étendue d’écriture explicite dépasse les limites d’implicite.Explicit scopes are useful when the implicit write scope of a management role doesn't meet the needs of your business. You can add an explicit scope to include nearly anything you want as long as the new scope doesn't exceed the bounds of the implicit read scope. The cmdlets that are part of a management role must be able to read information about the objects or containers that contain objects for the cmdlets to create or modify objects. For example, if the implicit read scope on a management role is set to Self, you can't add an explicit write scope of Organization because the explicit write scope exceeds the bounds of the implicit read scope.

Pour plus d'informations, voir les ressources suivantes :For more information, see the following sections:

  • Étendues relatives prédéfiniesPredefined Relative Scopes

  • Étendues personnaliséesCustom Scopes

Étendues relatives prédéfiniesPredefined relative scopes

Exchange 2013 fournit plusieurs relative prédéfinis écrire étendues que vous pouvez utiliser pour modifier l’étendue d’un rôle de gestion. Étendues relatives prédéfinis offrent un moyen simple vous permet de mieux en fonction des besoins de votre entreprise sans avoir à créer des étendues personnalisées manuellement. Ils sont appelés étendues relatives parce qu’ils sont par rapport à la personne affectée au rôle auquel l’attribution de rôle associée est affectée. Par exemple, le Self étendue relative prédéfini restreint cette étendue d’écriture pour l’utilisateur actuel uniquement. Le MyDistributionGroups étendue relative prédéfini restreint l’étendue d’écriture pour le groupe de distribution appartiennent à l’utilisateur actuel uniquement. Étendues relatives prédéfinis utilisable uniquement étendue d’objets destinataire. Étendues relatives prédéfinis ne peut être utilisé pour les objets de configuration étendue. Le tableau suivant répertorie les étendues relatives prédéfinis que vous pouvez utiliser.Exchange 2013 provides several predefined relative write scopes that you can use to modify scope of a management role. Predefined relative scopes provide an easy way for you to more closely match the needs of your business without having to create custom scopes manually. They're called relative scopes because they're relative to the role assignee to which the associated role assignment is assigned. For example, the Self predefined relative scope restricts that write scope to the current user only. The MyDistributionGroups predefined relative scope restricts the write scope to the distribution group the current user owns only. Predefined relative scopes can only be used to scope recipient objects. Predefined relative scopes can't be used to scope configuration objects. The following table lists the predefined relative scopes that you can use.

Étendues relatives prédéfiniesPredefined relative scopes

Étendues implicitesImplicit scopes DescriptionDescription

Organization

Si Organization est présent dans un destinataire du rôle l’étendue d’écriture, le rôle peut créer ou modifier des objets destinataire dans l’organisation Exchange.If Organization is present in the role's recipient write scope, the role can create or modify recipient objects across the Exchange organization.

Si Organization est présent dans du rôle étendue de lecture du destinataire, rôles peuvent afficher n’importe quel objet destinataire dans l’organisation Exchange.If Organization is present in the role's recipient read scope, roles can view any recipient object across the Exchange organization.

Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire.This scope is used only with recipient read and write scopes.

Self

Si Self est présent dans un destinataire du rôle l’étendue d’écriture, le rôle peut modifier les propriétés de boîte aux lettres de l’utilisateur actuel.If Self is present in the role's recipient write scope, the role can modify only the properties of the current user's mailbox.

Si Self est présent dans du rôle étendue de lecture du destinataire, le rôle peut afficher uniquement les propriétés de boîte aux lettres de l’utilisateur actuel.If Self is present in the role's recipient read scope, the role can view only the properties of the current user's mailbox.

Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire.This scope is used only with recipient read and write scopes.

MyDistributionGroups

Si MyDistributionGroups est présent dans un destinataire du rôle l’étendue d’écriture, le rôle peut créer ou modifier des objets de liste de distribution détenus par l’utilisateur actuel.If MyDistributionGroups is present in the role's recipient write scope, the role can create or modify distribution list objects owned by the current user.

Si MyDistributionGroups est présent dans du rôle étendue de lecture du destinataire, le rôle peut afficher les objets de liste de distribution détenus par l’utilisateur actuel.If MyDistributionGroups is present in the role's recipient read scope, the role can view distribution list objects owned by the current user.

Cette étendue est utilisée uniquement avec les étendues de lecture et d'écriture du destinataire.This scope is used only with recipient read and write scopes.

Étendues relatives prédéfinis sont appliquées lorsque vous créez une nouvelle attribution de rôle de gestion. Lors de la création de l’attribution de rôle, à l’aide de l’applet de commande New-ManagementRoleAssignment , vous pouvez spécifier une étendue relative prédéfinie en utilisant le paramètre RecipientRelativeWriteScope . Lors de la nouvelle attribution de rôle est créée, le nouveau rôle prédéfini remplace l’étendue d’écriture implicite du rôle de gestion. Vous ne pouvez pas spécifier une portée du destinataire personnalisée lorsque vous créez une attribution de rôle avec une étendue relative prédéfinie. Vous pouvez, toutefois, spécifier une étendue de configuration personnalisés si nécessaire.Predefined relative scopes are applied when you create a new management role assignment. During the creation of the role assignment, using the New-ManagementRoleAssignment cmdlet, you can specify a predefined relative scope using the RecipientRelativeWriteScope parameter. When the new role assignment is created, the new predefined role overrides the implicit write scope of the management role. You can't specify a custom recipient scope when you create a role assignment with a predefined relative scope. You can, however, specify a custom configuration scope if needed.

Pour plus d'informations sur l'ajout d'une attribution de rôle de gestion à une étendue relative prédéfinie, voir Ajouter un rôle à un utilisateur ou un groupe de sécurité universel.For more information about how to add a management role assignment with a predefined relative scope, see Add a role to a user or USG.

Étendues personnaliséesCustom scopes

Les étendues personnalisées sont nécessaires lorsque ni l’étendue d’écriture implicite ni l’étendue relative prédéfinie ne répondent pas à vos besoins. Les étendues personnalisées permettent de définir plus précisément l’étendue à laquelle le rôle de gestion sera appliqué. Par exemple, vous voudrez peut-être cibler une unité d’organisation spécifique, un type de destinataire particulier ou les deux. Ou vous pourriez vouloir seulement permettre à un groupe d’administrateurs de gérer un ensemble spécifique de bases de données de boîtes aux lettres.Custom scopes are needed when neither the implicit write scope nor the predefined relative scopes meet the needs of your business. Custom scopes enable you to define, at a granular level, the scope to which your management role will be applied. For example, you might want to target a specific organizational unit (OU), a specific type of recipient, or both. Or, you might only want to allow a group of administrators to be able to manage a specific set of mailbox databases.

Comme pour les étendues relatives prédéfinies, les étendues personnalisées remplacent les étendues de configuration d’organisation et d’écriture implicite définies sur les rôles de gestion. L’étendue de lecture implicite sur les rôles de gestion continue à s’appliquer et l’étendue personnalisée obtenue ne doit pas dépasser les limites de l’étendue de lecture implicite. Vous pouvez créer les trois types d’étendue personnalisée suivants :As with predefined relative scopes, custom scopes override the implicit write and organization configuration scopes defined on management roles. The implicit read scope on management roles continue to apply and the resulting custom scope must not exceed the boundaries of the implicit read scope. You can create the following three types of custom scopes:

  • Étendue de l’unité d’organisation Une étendue de l’unité d’organisation, qui est la plus simple étendue personnalisée, est créée à l’aide de la cmdlet New-ManagementRoleAssignment le paramètre RecipientOrganizationalUnitScope . En spécifiant une étendue de l’unité d’organisation lors de l’affectation d’un rôle, la personne affectée au rôle d’attribuer le rôle peut modifier uniquement les objets destinataire dans cette unité d’organisation. Pour plus d’informations sur l’ajout d’une attribution de rôle de gestion avec une étendue de l’unité d’organisation, voir Ajout d’un rôle à un utilisateur ou un groupe universel de sécurité.OU scope An OU scope, which is the simplest custom scope, is created using the RecipientOrganizationalUnitScope parameter on the New-ManagementRoleAssignment cmdlet. By specifying an OU scope when a role is assigned, the role assignee assigned the role can modify only recipient objects within that OU. For more information about how to add a management role assignment with an OU scope, see Add a role to a user or USG.

  • Portée du filtre destinataire Étendues du filtre destinataire utilisent les filtres pour cibler des destinataires spécifiques en fonction du type de destinataire ou d’autres propriétés de destinataire comme service, gestionnaire, emplacement et plus. Pour plus d’informations, voir la section étendues du filtre destinataire.Recipient filter scope Recipient filter scopes use filters to target specific recipients based on recipient type or other recipient properties such as department, manager, location, and more. For more information, see the Recipient Filter Scopes section.

  • Étendue de configuration Étendues de configuration utilisent des filtres ou des listes à des serveurs spécifiques cible basés sur les listes de serveurs ou des propriétés filtrables qui peuvent être définies sur les serveurs, par exemple un site Active Directory ou un rôle de serveur. Étendues de configuration peuvent également utiliser étendues de base de données pour cibler les bases de données spécifiques en fonction des listes de base de données ou propriétés filtrables de la base de données. Pour plus d’informations, voir la section Configuration étendues.Configuration scope Configuration scopes use filters or lists to target specific servers based on server lists or filterable properties that can be defined on servers, such as an Active Directory site or a server role. Configuration scopes can also use database scopes to target specific databases based on database lists or filterable database properties. For more information, see the Configuration Scopes section.

Des étendues personnalisées de destinataire et de configuration, soit simples et vastes, soit complexes et précises, peuvent être créées à l'aide de la cmdlet New-ManagementScope. Lorsque vous créez une étendue de destinataire ou de configuration, seuls les objets destinataire, serveur ou base de données répondant à leurs étendues respectives sont renvoyés. Lorsque ces étendues sont appliquées à une attribution de rôle à l'aide de la cmdlet New-ManagementRoleAssignment ou Set-ManagementRoleAssignment, seuls les objets répondant aux étendues peuvent être modifiés par les personnes auxquelles est attribué le rôle. Une fois l'étendue personnalisée créée, vous ne pouvez pas changer le type d'étendue. Une étendue de destinataire est toujours une étendue de destinataire et une étendue de configuration est toujours une étendue de configuration.Simple and broad or complex and granular recipient and configuration custom scopes can be created by using the New-ManagementScope cmdlet. When you create either a recipient or configuration scope, only the recipient, server, or database objects that match their respective scopes are returned. When these scopes are applied to a role assignment using the New-ManagementRoleAssignment or Set-ManagementRoleAssignment cmdlets, only the objects that match the scopes can be modified by the role assignees who are assigned the role. After a custom scope has been created, you can't change the scope type. A recipient scope is always a recipient scope and a configuration scope is always a configuration scope.

Par défaut, une étendue personnalisée permet à une personne attribuée au rôle d'accéder à un ensemble d'objets qui répondent aux étendues définies. Toutefois, l'accès aux autres personnes attribuées au rôle auxquelles n'est pas attribuée également l'étendue identique ou équivalente n'est pas activement exclu. Toute étendue personnalisée peut accéder aux mêmes objets si les listes ou filtres de ces étendues correspondent aux mêmes objets. Pour certains objets, ce comportement n'est pas souhaité, par exemple, pour le personnel d'encadrement. Pour ces objets, vous pouvez définir des étendues exclusives. Les étendues exclusives utilisent les filtres ou listes de la même façon que les étendues normales, sauf qu'elles refusent l'accès aux objets inclus dans l'étendue à quiconque ne fait pas partie de l'étendue exclusive identique ou équivalente. Pour plus d'informations sur les étendues exclusives, voir Présentation des étendues exclusives.By default, a custom scope enables a role assignee to access a set of objects that match the scopes you define. However, they don't actively exclude access to other role assignees who aren't also assigned the same or equivalent scope. Any custom scope can access the same objects if the lists or filters on those scopes match the same objects. There might be objects where this behavior isn't wanted, such as in the case of executives. For these objects, you can define exclusive scopes. Exclusive scopes use filters or lists in the same way as regular scopes but unlike regular scopes, deny access to objects included in the scope to anyone who isn't part of the same or equivalent exclusive scope. For more information about exclusive scopes, see Understanding exclusive scopes.

Étendues filtrées de destinataireRecipient filter scopes

Étendues de filtrage des destinataires vous permettent de contrôler les intervenants du rôle objets destinataire peuvent gérer en évaluant une ou plusieurs propriétés sur un objet par rapport à une valeur que vous spécifiez dans une instruction de filtre destinataire. Destinataires inclus dans les étendues de destinataire sont des boîtes aux lettres, les utilisateurs à extension messagerie, les groupes de distribution et les contacts de messagerie. Uniquement les destinataires correspondant au filtre que vous spécifiez peuvent être gérés par les intervenants rôle affectés cette attribution de rôle. Est un exemple d’instruction filtre { Name -Eq "David" }Name est la propriété sur l’objet destinataire est évaluée et David est la valeur que vous souhaitez évaluer par rapport à la propriété. L’opérateur de comparaison - Eq indique que la valeur stockée dans la propriété doit être égale à la valeur qui a été spécifiée pour le filtre à la valeur true. Si le filtre est vrai, que le destinataire est inclus dans l’étendue.Recipient filter scopes enable you to control which recipient objects role assignees can manage by evaluating one or more properties on a recipient object against a value that you specify in a filter statement. Recipients included in recipient scopes are mailboxes, mail-enabled users, distribution groups and mail contacts. Only the recipients that match the filter you specify can be managed by the role assignees assigned that role assignment. An example of a filter statement is { Name -Eq "David" } where Name is the property on the recipient object that's being evaluated and David is the value you want to evaluate against the property. The -Eq comparison operator indicates that the value stored in the property must be equal to the value that was specified for the filter to be true. If the filter is true, that recipient is included in scope.

Étendues du filtre de destinataire sont créés en spécifiant le filtre de destinataire à utiliser avec le paramètre RecipientRestrictionFilter sur l’applet de commande New-ManagementScope . Par défaut, l’applet de commande New-ManagementScope crée régulières étendues. Si vous souhaitez créer une étendue exclusive, incluez le commutateur Exclusive avec le paramètre RecipientRestrictionFilter .Recipient filter scopes are created by specifying the recipient filter to use with the RecipientRestrictionFilter parameter on the New-ManagementScope cmdlet. By default, the New-ManagementScope cmdlet creates regular scopes. If you want to create an exclusive scope, include the Exclusive switch along with the RecipientRestrictionFilter parameter.

Lorsque vous créez un filtre de restriction des destinataires, Exchange évalue le filtre que vous avez fournis par rapport à chaque objet destinataire dans l’organisation par défaut. Si vous souhaitez limiter les destinataires qui évalue l’étendue, vous pouvez utiliser le paramètre RecipientRoot avec le paramètre RecipientRestrictionFilter . Le paramètre RecipientRoot accepte une unité d’organisation. Lorsque vous utilisez le paramètre RecipientRoot , Exchange calcule uniquement les destinataires inclus dans l’unité d’organisation spécifiée au filtre que vous avez fournis.When you create a recipient restriction filter, Exchange evaluates the filter you provided against every recipient object in the organization by default. If you want to limit which recipients the scope evaluates, you can use the RecipientRoot parameter along with the RecipientRestrictionFilter parameter. The RecipientRoot parameter accepts an OU. When you use the RecipientRoot parameter, Exchange evaluates only the recipients included in the specified OU against the filter you provided.

Lorsque vous ajoutez une étendue de filtre destinataire à une attribution de rôle, spécifiez le nom de la portée du destinataire dans le paramètre CustomRecipientWriteScope sur le New-ManagementRoleAssignment si vous créez une nouvelle attribution de rôle ou le ** Set-ManagementRoleAssignment** applet de commande si vous mettez à jour une attribution de rôle existante. Chaque attribution de rôle peut avoir une portée du destinataire, y compris les étendues relatives prédéfinis. Vous pouvez ajouter une étendue de configuration à l’attribution de rôle même que vous avez ajouté à une portée du destinataire.When you add a recipient filter scope to a role assignment, specify the name of the recipient scope in the CustomRecipientWriteScope parameter on the New-ManagementRoleAssignment if you're creating a new role assignment, or the Set-ManagementRoleAssignment cmdlet if you're updating an existing role assignment. Each role assignment can have one recipient scope, including predefined relative scopes. You can add one configuration scope to the same role assignment you added a recipient scope to.

Pour plus d'informations sur la syntaxe du filtre et pour obtenir la liste complète des propriétés filtrables des destinataires, voir Présentation des filtres d'attribution du rôle de gestion.For more information about filter syntax and for a full list of filterable recipient properties on recipients, see Understanding management role scope filters.

Étendues de configurationConfiguration scopes

Les éléments suivants sont les deux types d'étendues de configuration proposées dans Exchange 2013 :The following are the two types of configuration scopes offered in Exchange 2013:

  • Étendues du serveur Il existe deux types d’étendues du serveur, les étendues du filtre serveur et les zones de liste de serveur. Configuration du serveur, y compris les connecteurs de réception, files d’attente de transport, certificats de serveur, des répertoires virtuels et ainsi de suite, peut être gérée si un objet serveur est inclus dans une étendue du serveur.Server scopes There are two types of server scopes, server filter scopes and server list scopes. Server configuration, including Receive connectors, transport queues, server certificates, virtual directories, and so on, can be managed if a server object is included in a server scope.

    • Étendues du filtre serveur Étendues du filtre serveur vous permettent de contrôler les personnes affectées à des rôles serveur objets peuvent gérer en évaluant une ou plusieurs propriétés sur un objet serveur par rapport à une valeur que vous spécifiez dans une instruction de filtre. Pour créer une étendue de filtre serveur, utilisez le paramètre ServerRestrictionFilter sur l’applet de commande New-ManagementScope .Server filter scopes Server filter scopes enable you to control which server objects role assignees can manage by evaluating one or more properties on a server object against a value that you specify in a filter statement. To create a server filter scope, use the ServerRestrictionFilter parameter on the New-ManagementScope cmdlet.

    • Zones de liste de serveur Zones de liste de serveur vous permettent de contrôler les intervenants de rôle objets serveur peuvent gérer en définissant une liste de serveurs que vous pouvez accéder à une personne affectée au rôle. Pour créer une étendue de la liste serveur, utilisez le paramètre ServerList sur l’applet de commande New-ManagementScope .Server list scopes Server list scopes enable you to control which server objects role assignees can manage by defining a list of servers that a role assignee can access. To create a server list scope, use the ServerList parameter on the New-ManagementScope cmdlet.

  • Étendues de base de données Il existe deux types d’étendues de base de données, les étendues de filtre de base de données et les zones de liste de base de données. Configuration de base de données pouvant être gérés si un objet de base de données est inclus dans une étendue de base de données à inclure une limite de quota de base de données, de maintenance de base de données, la réplication des dossiers publics, si une base de données est montée, et ainsi de suite. Outre la configuration de la base de données, les étendues de base de données peuvent également servir à contrôler les destinataires de bases de données pouvant être créés dans. Si vous avez des serveurs de version antérieure à Exchange 2010 SP1 dans votre organisation, voir les étendues de base de données et les versions précédentes de la section Exchange plus loin dans cette rubrique.Database scopes There are two types of database scopes, database filter scopes and database list scopes. Database configuration that can be managed if a database object is included in a database scope include database quota limits, database maintenance, public folder replication, whether a database is mounted, and so on. In addition to database configuration, database scopes can also be used to control which databases recipients can be created in. If you have pre-Exchange 2010 SP1 servers in your organization, see the Database scopes and previous versions of Exchange section later in this topic.

    • Étendues de filtre de base de données Étendues de filtre de base de données vous permettent de contrôler les intervenants de rôle d’objets de base de données peuvent gérer en évaluant une ou plusieurs propriétés sur un objet de base de données par rapport à une valeur que vous spécifiez dans une instruction de filtre. Pour créer une étendue de filtre de base de données, utilisez le paramètre DatabaseRestrictionFilter sur l’applet de commande New-ManagementScope .Database filter scopes Database filter scopes enable you to control which database objects role assignees can manage by evaluating one or more properties on a database object against a value that you specify in a filter statement. To create a database filter scope, use the DatabaseRestrictionFilter parameter on the New-ManagementScope cmdlet.

    • Zones de liste de base de données Zones de liste de base de données vous permettent de contrôler les intervenants de rôle d’objets de base de données peuvent gérer en définissant une liste des bases de données qui peut accéder à une personne affectée au rôle. Pour créer une étendue de liste de base de données, utilisez le paramètre donnéesmode sur l’applet de commande New-ManagementScope .Database list scopes Database list scopes enable you to control which database objects role assignees can manage by defining a list of databases that a role assignee can access. To create a database list scope, use the DatabaseList parameter on the New-ManagementScope cmdlet.

Pour plus d'informations sur la syntaxe du filtre et pour obtenir la liste complète des propriétés filtrables des serveurs et des bases de données, voir Présentation des filtres d'attribution du rôle de gestion.For more information about filter syntax and for a full list of filterable server and database properties, see Understanding management role scope filters.

Les listes de serveurs et de bases de données peuvent être définies en spécifiant chaque serveur et base de données que vous voulez inclure dans leurs étendues respectives. Plusieurs serveurs ou bases de données peuvent être spécifiés dans leurs étendues respectives en séparant les noms de serveur et de base de données par des virgules.Server and database lists can be defined by specifying each server and database you want to include in their respective scopes. Multiple servers or databases can be specified in their respective scopes by separating the server and database names with commas.

Lorsque vous ajoutez une étendue de configuration de serveur ou de base de données à une attribution de rôle, spécifiez le nom de l’étendue correspondante dans le paramètre CustomConfigWriteScope sur la cmdlet New-ManagementRoleAssignment si vous créez une nouvelle attribution de rôle ou sur la cmdlet Set-ManagementRoleAssignment si vous mettez à jour une attribution de rôle existante. Chaque attribution de rôle ne peut avoir qu’une seule étendue de configuration.When you add a server or database configuration scope to a role assignment, specify the name of the server or database configuration scope in the CustomConfigWriteScope parameter on the New-ManagementRoleAssignment cmdlet if you're creating a new role assignment, or the Set-ManagementRoleAssignment cmdlet if you're updating an existing role assignment. Each role assignment can only have one configuration scope.

Outre le fait de contrôler quelles bases de données peuvent être gérées par les personnes auxquelles le rôle est attribué, les étendues de base de données vous permettent également de contrôler dans quelles bases de données les personnes auxquelles est attribué le rôle peuvent créer des boîtes aux lettres. C’est une fonctionnalité distincte de celle de contrôler quels destinataires peuvent être gérés par une personne à laquelle le rôle a été attribué. Si la personne à laquelle le rôle a été attribué dispose des autorisations de création d’une nouvelle boîte aux lettres, d’étendre la messagerie à un utilisateur existant ou de déplacer des boîtes aux lettres, vous pouvez alors affiner encore ces autorisations à l’aide des étendues de base de données pour contrôler la base de données dans laquelle la boîte aux lettres est créée ou dans quelle base de données une boîte aux lettres est déplacée. Le contrôle des destinataires pouvant être gérés par une personne à laquelle le rôle a été attribué est opéré avec une étendue de destinataire qui est spécifiée dans le paramètre CustomRecipientWriteScope sur la cmdlet New-ManagementRoleAssignment ou Set-ManagementRoleAssignment. Pour contrôler dans quelles bases de données une boîte aux lettres peut être créée ou déplacée, il faut utiliser une étendue de base de données spécifiée dans le paramètre CustomConfigurationWriteScope sur les mêmes cmdlets.In addition to controlling which databases role assignees can manage, database scopes also enable you to control which databases role assignees can create mailboxes on. This is separate from controlling which recipients a role assignee can manage. If a role assignee has permissions to create a new mailbox, mail-enable an existing user, or move mailboxes, you can further refine their permissions by using database scopes to control the database on which the mailbox is created, or which database a mailbox is moved to. Controlling which recipients a role assignee can manage is done using a recipient scope specified in the CustomRecipientWriteScope parameter on the New-ManagementRoleAssignment or Set-ManagementRoleAssignment cmdlet. Controlling which databases a mailbox can be created on or moved to is controlled using a database scope specified in the CustomConfigurationWriteScope parameter on the same cmdlets.

Note

La distribution automatique des boîtes aux lettres peut être contrôlée à l'aide des étendues de base de données.Automatic mailbox distribution can be controlled using database scopes.

La gestion des fonctionnalités d'Exchange peut exiger des étendues de serveur ou de base de données, ou les deux types d'étendue. Si la gestion d'une fonctionnalité requiert à la fois des étendues de serveur et de base de données, deux attributions de rôle doivent être créées et dévolues à la personne à laquelle le rôle est attribué et possédant l'accès à la gestion de la fonctionnalité. Une attribution de rôle doit être associée à l'étendue de serveur et l'autre attribution de rôle à l'étendue de base de données.Exchange features may require either server scopes, database scopes, or both, to be managed. If a feature requires both server and database scopes to be managed, two role assignments must be created and assigned to the role assignee that should have access to manage the feature. One role assignment should be associated with the server scope, and one role assignment should be associated with the database scope.

Certaines cmdlets peuvent utiliser les étendues de configuration qui ne sont pas immédiatement évidentes. Le tableau suivant inclut une liste de cmdlets et d'étendues de configuration que vous pouvez utiliser pour contrôler leur utilisation. Pour les cmdlets incluses dans les fonctionnalités spécifiques, les étendues de configuration vous permettent de contrôler dans quelles bases de données les destinataires peuvent être créés. Elles ne contrôlent pas quels destinataires peuvent être gérés. La colonne Étendues requises peut contenir les éléments suivants :Some cmdlets may use configuration scopes that aren't immediately obvious. The following table includes a list of cmdlets and the configuration scopes that you can use to control their usage. For cmdlets included in the recipients feature area, configuration scopes enable you to control on which databases recipients can be created. They don't control which recipients can be managed. The Required scopes column can contain the following:

  • Base de données Pour exécuter l’applet de commande, la personne affectée au rôle doit être affecté à une attribution de rôle avec une étendue de base de données qui inclut la base de données à gérer ou étendue d’écriture du rôle implicite doit inclure la base de données à gérer.Database To run the cmdlet, the role assignee must be assigned a role assignment with a database scope that includes the database to be managed or the role's implicit configuration write scope must include the database to be managed.

  • Serveur Pour exécuter l’applet de commande, la personne affectée au rôle doit être affecté à une attribution de rôle avec une étendue de serveur qui inclut le serveur à gérer ou étendue d’écriture du rôle implicite doit inclure le serveur à gérer.Server To run the cmdlet, the role assignee must be assigned a role assignment with a server scope that includes the server to be managed or the role's implicit configuration write scope must include the server to be managed.

  • Serveur ou base de données Pour exécuter l’applet de commande, la personne affectée au rôle doit être attribué une attribution de rôle lorsque soit une étendue de base de données comprend la base de données qui est géré ou une étendue du serveur comprend le serveur où se trouve la base de données. Ou étendue d’écriture du rôle implicite doit contenir la base de données à gérer, contiennent le serveur où se trouve la base de données et l’attribution de rôle ne peut pas avoir une étendue d’écriture personnalisée.Server or database To run the cmdlet, the role assignee must be assigned a role assignment where either a database scope includes the database being managed, or where a server scope includes the server where the database is located. Or, the role's implicit configuration write scope must contain the database to be managed, or contain the server where the database is located, and the role assignment can't have a custom write scope.

  • Serveur et base de données   Pour exécuter cette commande, deux attributions de rôle doivent être conférées à la personne concernée. La première attribution de rôle doit inclure une étendue de base de données qui inclut la base à gérer. La deuxième attribution de rôle doit inclure une étendue de serveur qui inclut le serveur dans lequel se trouve la base de données. Des étendues de configuration personnalisées peuvent avoir été définies pour les attributions de rôle ou ces dernières peuvent hériter d’une étendue implicite d’écriture de configuration par l’intermédiaire du rôle. Pour hériter de l’étendue implicite d’écriture du rôle, l’attribution de rôle ne doit pas avoir d’étendue d’écriture personnalisée.Server and database To run this cmdlet, the role assignee must be assigned two role assignments. The first role assignment must include a database scope that includes the database to be managed. The second role assignment must include a server scope that includes the server where the database is located. The role assignments can have custom configuration scopes defined, or the role assignments can inherit the implicit configuration write scope from the role. To inherit the implicit write scope from the role, the role assignment can't have a custom write scope.

Fonctionnalités et étendues de base de données et serveur applicablesFeature areas and applicable database and server scopes

FonctionnalitésFeature area CmdletCmdlet Étendues requisesRequired scopes

Bases de donnéesDatabases

Dismount-DatabaseDismount-Database

Base de donnéesDatabase

Bases de donnéesDatabases

Mount-DatabaseMount-Database

Base de donnéesDatabase

Bases de donnéesDatabases

Move-DatabasePathMove-DatabasePath

Serveur et base de donnéesServer and database

Bases de donnéesDatabases

Remove-MailboxDatabaseRemove-MailboxDatabase

Serveur ou base de donnéesServer or database

Bases de donnéesDatabases

Set-MailboxDatabaseSet-MailboxDatabase

Base de donnéesDatabase

Haute disponibilitéHigh availability

Ajouter-DatabaseAvailabilityGroupServerAdd-DatabaseAvailabilityGroupServer

ServeurServer

Disponibilité élevéeHigh availability

Ajouter-MailboxDatabaseCopyAdd-MailboxDatabaseCopy

ServeurServer

Disponibilité élevéeHigh availability

Move-ActiveMailboxDatabaseMove-ActiveMailboxDatabase

ServeurServer

Disponibilité élevéeHigh availability

Remove-DatabaseAvailabilityGroupServerRemove-DatabaseAvailabilityGroupServer

ServeurServer

Disponibilité élevéeHigh availability

Remove-MailboxDatabaseCopyRemove-MailboxDatabaseCopy

Serveur ou base de donnéesServer or database

Disponibilité élevéeHigh availability

Resume-MailboxDatabaseCopyResume-MailboxDatabaseCopy

Serveur ou base de donnéesServer or database

Disponibilité élevéeHigh availability

Set-MailboxDatabaseCopySet-MailboxDatabaseCopy

Serveur ou base de donnéesServer or database

Disponibilité élevéeHigh availability

Suspend-MailboxDatabaseCopySuspend-MailboxDatabaseCopy

Serveur ou base de donnéesServer or database

Disponibilité élevéeHigh availability

Update-MailboxDatabaseCopyUpdate-MailboxDatabaseCopy

Serveur ou base de donnéesServer or database

DestinatairesRecipients

Connect-MailboxConnect-Mailbox

Base de donnéesDatabase

DestinatairesRecipients

Enable-MailboxEnable-Mailbox

Base de donnéesDatabase

DestinatairesRecipients

New-MailboxNew-Mailbox

Base de donnéesDatabase

DestinatairesRecipients

Nouvelle-MoveRequestNew-MoveRequest

Base de donnéesDatabase

Résolution des problèmesTroubleshooting

Test-MapiConnectivityTest-MapiConnectivity

Base de donnéesDatabase

Les étendues de base de données et les versions antérieures d'ExchangeDatabase scopes and previous versions of Exchange

Le concept des étendues de base de données a été introduit pour la première fois dans Microsoft Exchange 2010 Service Pack 1 (SP1) et continue d'être pris en charge dans Exchange 2013. Les versions d'Exchange antérieures à Exchange 2010 SP1 prennent en charge uniquement les étendues de destinataire et les étendues de configuration de serveur. Si vous créez une nouvelle étendue de base de données sur un serveur Exchange 2010 SP1 ou ultérieur, vous recevrez l'avertissement suivant :Database scopes were first introduced in Microsoft Exchange 2010 Service Pack 1 (SP1) and continue to be supported in Exchange 2013. Versions of Exchange prior to Exchange 2010 SP1 support only recipient scopes and server configuration scopes. When you create a new database scope on an Exchange 2010 SP1 or later server, you'll receive the following warning:

WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.

Lorsque vous créez une étendue de base de données, elle s'applique uniquement aux utilisateurs se connectant à des serveurs exécutant Exchange 2010 SP1 ou ultérieur. Les utilisateurs qui se connectent à des serveurs exécutant des versions antérieures à Exchange 2010 SP1 ne disposeront d'aucune attribution de rôle associée à des étendues de base de données qui leur sont appliquées. Cela signifie que les autorisations délivrées par ces attributions de rôle ne seront pas accordées aux utilisateurs se connectant à des serveurs exécutant des versions antérieures à Exchange 2010 SP1. Les étendues de base de données ne peuvent pas être créées, supprimées, modifiées ni consultées depuis des serveurs exécutant des versions antérieures à Exchange 2010 SP1.When you create a database scope, it's only applied to users who connect to servers running Exchange 2010 SP1 or later. Users who connect to pre-Exchange 2010 SP1 servers won't have any role assignments associated with database scopes applied to them. This means that any permissions provided by these role assignments won't be granted to users when they connect to pre-Exchange 2010 SP1 servers. Database scopes can't be created, removed, modified, or viewed from pre-Exchange 2010 SP1 servers.

Une étendue de base de données peut inclure n'importe quelle base de données de votre organisation Exchange. Ceci comprend des serveurs Exchange Server 2007, Exchange 2010 et Exchange 2013. Ceci vous permet de contrôler quelles bases de données peuvent être gérées par les utilisateurs, quelle que soit la version d' Exchange. Comme pour d'autres étendues de base de données, les attributions de rôles associées à des étendues contenant des bases de données Exchange 2007 et Exchange 2010 s'appliquent uniquement aux utilisateurs se connectant à un serveur Exchange 2010 SP1 ou ultérieur.A database scope can include any database in your Exchange organization. This includes Exchange Server 2007, Exchange 2010, and Exchange 2013 servers. This enables you to control which databases, regardless of Exchange version, that users can manage. As with other database scopes, role assignments associated with database scopes that contain Exchange 2007 and Exchange 2010 databases are only applied to users when they connect to an Exchange 2010 SP1 or later server.

Les utilisateurs se connectant à un serveur dont la version est antérieure à Exchange 2010 SP1 peuvent afficher et modifier les attributions de rôles associées aux étendues de base de données. Cela inclut le changement de l'étendue de configuration sur une attribution de rôle existante en une étendue de serveur si celle-ci est alors associée à une étendue de base de données. Cependant, si l'étendue de configuration sur une attribution de rôle est modifiée en étendue de serveur et si un utilisateur veut ultérieurement revenir à une étendue de base de données, ou encore passer d'une étendue de configuration à une autre étendue de base de données, cet utilisateur doit effectuer le changement lorsqu'il est connecté à un serveur Exchange 2010 SP1 ou ultérieur. Les utilisateurs ne peuvent spécifier des étendues de serveur que lorsqu'ils modifient l'étendue de configuration sur une attribution de rôle en étant connectés à un serveur dont la version est antérieure à Exchange 2010 SP1.Users who connect to a pre-Exchange 2010 SP1 server can view and modify role assignments associated with database scopes. This includes changing the configuration scope on an existing role assignment to a server scope if it's currently associated with a database scope. However, if the configuration scope on a role assignment is changed to a server scope and a user later wants to change it back to a database scope, or if the user wants to change the configuration scope to another database scope, the user must make the change while connected to an Exchange 2010 SP1 or later server. Users can only specify server scopes when they change the configuration scope on a role assignment if they're connected to a pre-Exchange 2010 SP1 server.