[Exchange 2010] 11 Délégation d'administration (RBAC)
11.2 Principe de mise en place d’une délégation RBAC
La mise en place d’une délégation RBAC passe par la configuration de trois éléments :
- Le périmètre d’application
- Les autorisations
- Les membres
1. Périmètre d’application
Il s’agît d’une OU, d’un groupe d’utilisateurs ou tout simplement d’un container de configuration. Tous les rôles ont par défaut un périmètre d’application. Lorsque vous créez un nouveau rôle RBAC il est enfant d’un rôle déjà existant et hérite du périmètre de son parent. Il est toutefois possible de spécifier un périmètre spécifique lors de sa création ou de le modifier par la suite.
2. Les autorisations
Exchange 2010 possède autour de 70 rôles prédéfinis (56 coté administrateur et 14 coté utilisateurs). Vous pouvez créer des rôles personnalisés enfants de rôle existant mais ayant moins de droits. L’attribution des droits se fait par sélection des cmdlets PowerShell que le rôle pourra exécuter au final.
Les autorisations sont en fait des autorisations sur les cmdlets PowerShell qui pourront être exécutée.
3. Les membres
Vous pouvez assigner le rôle aussi bien à un utilisateur unique qu’à un groupe entier mais il est recommandé d’utiliser les groupes dans l’administration.
Rôle
Chaque élément étant un objet dans l’Active Directory, le tout forme également un nouvel objet « ManagementRoleAssignment » défini par le principe RBAC. Gardez en tête ce fameux triangle du pouvoir afin de visionner les différents composants pour vous y retrouver.