Si vous désirez donner la possibilité à vos utilisateurs finaux de gérer leurs listes de distribution, il faut d'abord que vous sachiez que la manière de faire ça dans Exchange 2010 est complètement différente que dans les versions précédentes d'Exchange.
En effet, le modèle de permissions dans Exchange 2010 est basé sur le RBAC (Role Based Access Control). Ceci permet la gestion très fine des permissions. L'intérêt sera évidemment de déléguer des tâches très précises à des utilisateurs à différents niveaux dans l'entreprise.
Le modèle RBAC appliqué à la délégation de gestion d'une liste de distribution
Imaginons qu'un département a besoin de gérer une liste de distribution fréquemment mise à jour. Il est peu intéressant de laisser cette tâche entre les mains d'un administrateur de messagerie Exchange ou même des membres du helpdesk de votre entreprise.
On veut donc donner la possibilité au gestionnaire de cette liste de distribution le droit d'ajouter et de retirer des membres de cette liste.
1) Donner le droit de gestion de la liste à votre utilisateur
Ceci peut se faire via l'ADUC, l'ADAC, mais également via la console EMC (Exchange Management Console).
Nous allons réaliser l'opération via cette dernière.
Recipient Configuration > Distribution Group > 'Votre liste de distribution" > Properties
Cliquez sur l'onglet Group Information et ensuite il vous suffit d'ajouter l'utilisateur gestionnaire de cette liste de distribution.
Set-DistributionGroup -Identity "DistributionList01" –ManagedBy "Pierre-Alexandre Braeken" -BypassSecurityGroupManagerCheck
2) Le rôle de gestion MyDistributionGroups n'est pas suffisamment granulaire
Rendons-nous sur notre console ECP (Exchange Control Panel) afin de définir un rôle de gestion dont l'objectif est la gestion des membres de la liste de distribution dont notre utilisateur est responsable.
ECP > Role & Auditing > Default Role Assignment Policy > Details
On tombe très rapidement sur ce rôle de gestion : MyDistributionGroups. Mais nous n'allons pas pouvoir l'utiliser. En effet, ce rôle permet à un utilisateur de créer et supprimer des listes de distribution. Ce rôle n'est donc pas assez restrictif puisque nous ne voulons permettre à notre utilisateur que l'ajout/suppression des membres de la liste de distribution.
3) Il nous faut créer notre propre rôle de gestion
Nous allons devoir créer notre propre rôle de gestion, et c'est ici qu'on va pouvoir apprécier la puissance du modèle de permissions RBAC d'Exchange 2010.
Let's Powershell !
Ouvrez une invite Exchange Management Shell.
New-ManagementRole -Name MyDistributionGroupsMembers -Parent MyDistributionGroups
Cette commande permet la création d'un rôle enfant du rôle vu précédemment. Nous devons donc logiquement retirer les possibilités de création/suppression d'une liste de distribution à ce nouveau rôle.
Vous pouvez également ajouter une description à votre nouveau rôle grâce au paramètre Description. La description devra être entourée de " ".
Powershell est à nouveau notre ami et nous entrons les deux commandes suivantes :
Remove-ManagementRoleEntry MyDistributionGroupsMembers\New-DistributionGroup -Confirm:$false
Remove-ManagementRoleEntry MyDistributionGroupsMembers\Remove-DistributionGroup -Confirm:$false
Nous sommes fin prêts désormais à assigner ce nouveau rôle que nous venons de créer à notre policy par défaut.
Nous avons encore besoin d'un peu de Powershell pour ceci :
New-ManagementRoleAssignment -Role MyDistributionGroupsMembers -Policy "Default Role Assignment Policy"
Si nous retournons à nouveau éditer notre policy "Default Role Assignement Policy", nous voyons que notre rôle a bien été ajouté comme enfant du rôle MyDistributionGroups.
Vos utilisateurs responsable de listes de distribution peuvent désormais ajouter/supprimer des membres des celles-c !
Bonjour,
RépondreSupprimerJ'ai suivi à la lettre les commandes a effectuer afin de déléguer la gestion d'une (pour l'instant) liste à l'un de mes collègue.
Tout à l'air de fonctionner mais il est impossible, à partir d'un client Outlook (2007/2010) d'étendre la liste dans le champ destinataire. Je ne peux donc pas connaitre le contenu de cette dernière listes. Les autres listes (historiques) n'ont pas l'air d’être impactées. Avez vous des idées sur ce souci?
Merci.
super tuto, merci
RépondreSupprimer