Pour rappel sous Exchange 2010 il ne suffit pas de mettre un gestionnaire
pour lui permettre de gérer un groupe de distribution:
Il faut activer le rôle défini par le mécanisme RBAC.
Cochez “MyDistributiongroups”
On constate en lançant Outlook Web App que la création de groupe
n’est pas disponible avant l’activation du rôle:
Après activation, de nouveaux menus sont disponibles:
Chaque utilisateur peut donc créer un groupe
et supprimer un groupe dont il est le propriétaire !
Ce droit “excessif” peut ne pas répondre à la stratégie de la société.
Nous allons donc retirer ces droits de création et de suppression.
Recherchons le rôle “MyDistributionGroups”
Créer un rôle enfant de “MyDistributionGroups” en supprimant le droit de créer et de supprimer un groupe.
New-ManagementRole –Name ****OwnerDistributionGroups -Parent MyDistributionGroups
On remarque la présence de ce nouveau rôle dans la console “RBAC”:
Vérifions le rôles assignés sur “Default Role Assignment Policy”
MyDistributionGroups est présent.
Supression des droits New et Remove
Remove-ManagementRoleEntry ****OwnerDistributionGroups\New-DistributionGroup -Confirm:$false
Remove-ManagementRoleEntry ****OwnerDistributionGroups\Remove-DistributionGroup -Confirm:$false
Puis il faut associer le “Default Default RoleAssignment Policy” avec ce nouveau rôle :
New-ManagementRoleAssignment –Role ****OwnerDistributionGroups -Policy "Default Role Assignment Policy"
L’opération n’est pas finie car le rôle parent est toujours assigné donc actif.
Supprimons ce lien:
Remove-ManagementRoleAssignment “MyDistributionGroups-Default Assignment Policy”
Vérifions
Ce qui donne dans la console RBAC cette configuration:
Et pour l’utilisateur final:
Les droits de création et de suppression ne sont plus disponible.