PI Services

Le blog des collaborateurs de PI Services

EXCHANGE 2010 – Gestion des groupes de distributions

Pour rappel sous Exchange 2010 il ne suffit pas de mettre un gestionnaire

pour lui permettre de gérer un groupe de distribution:

image

Il faut activer le rôle défini par le mécanisme RBAC.

Cochez “MyDistributiongroups”

image

On constate en lançant Outlook Web App que la création de groupe

n’est pas disponible avant l’activation du rôle:

image

Après activation, de nouveaux menus sont disponibles:

image

Chaque utilisateur peut donc créer un groupe

et supprimer un groupe dont il est le propriétaire !

Ce droit “excessif” peut ne pas répondre à la stratégie de la société.

Nous allons donc retirer ces droits de création et de suppression.

Recherchons le rôle “MyDistributionGroups”

image

Créer un rôle enfant de “MyDistributionGroups” en supprimant le droit de créer et de supprimer un groupe.

New-ManagementRole –Name ****OwnerDistributionGroups -Parent MyDistributionGroups

image

image

On remarque la présence de ce nouveau rôle dans la console “RBAC”:

image

Vérifions le rôles assignés sur “Default Role Assignment Policy”

image

MyDistributionGroups est présent.

Supression des droits New et Remove

Remove-ManagementRoleEntry ****OwnerDistributionGroups\New-DistributionGroup -Confirm:$false

Remove-ManagementRoleEntry ****OwnerDistributionGroups\Remove-DistributionGroup -Confirm:$false

Puis il faut associer le “Default Default RoleAssignment Policy” avec ce nouveau rôle :

New-ManagementRoleAssignment –Role ****OwnerDistributionGroups -Policy "Default Role Assignment Policy"

image

L’opération n’est pas finie car le rôle parent est toujours assigné donc actif.

Supprimons ce lien:

Remove-ManagementRoleAssignment “MyDistributionGroups-Default Assignment Policy”

image

Vérifions

image

Ce qui donne dans la console RBAC cette configuration:

image

Et pour l’utilisateur final:

image

Les droits de création et de suppression ne sont plus disponible.

Ajouter un commentaire

Loading