[Exchange 2010] 11 Délégation d'administration (RBAC)
11.3 Implémentation d’une règle RBAC
La création d’une règle RBAC peut se faire par l’outil ECP (Exchange Control Panel) ou par la console EMS (Exchange Management Shell).
Il est aussi possible d’affecter un utilisateur à un rôle existant à l’aide de la console Utilisateurs et ordinateurs Active Directory
11.3.1 Implémentation à l’aide de Utilisateurs et ordinateurs Active Directory
Dans l’arborescence de la console Utilisateurs et ordinateurs Active Directory, il vous suffit de naviguer dans l’UO Microsoft Exchange Security Groups, puis d’ajouter les utilisateurs aux groupes s’y trouvant selon les autorisations que vous souhaitez déléguer.

11.3.2 Implémentation à l’aide de EMC
Vous pouvez lancer l’outil de gestion des rôles à l’aide de la console EMC et du nœud Tools.

Ou directement à partir de l’url https://<serveur-exchange>/ecp.
Dans la section Gérer Mon organisation, vous pouvez ajouter ou modifier les rôles de votre organisation.
Par contre il n’est pas possible de personnaliser à partir de cette interface des composants comme la portée d’utilisation du rôle. Ceci devra être fait à partir de la console EMS.

11.3.3 Implémentation à l’aide de EMS
Voici un exemple de création d’un rôle RBAC à l’aide de EMS :
On crée un nouveau périmètre d’application appelé MS-Trainers basée sur les objets contenu dans l’unité d’organisation Trainers du domaine egilia.lan. et membre du groupe GG-Trainers.
New-ManagementScope "MS-Trainers" -RecipientRestrictionFilter {MemberOfGroup -eq "CN=GG-Trainers,DC=egilia,DC=lan"} -RecipientRoot "OU=Trainers,DC=egilia,DC=lan"
On crée un rôle MR-MailboxReader base sur le rôle Mail Recipients sur lequel on retire l’ensemble des cmdlets accessible hormis Get-User (à l’origine il y avait plus de 60 cmdlets utilisable).
New-ManagementRole -Name MR-MailboxReader -Parent "Mail Recipients"
Get-ManagementRoleEntry -Identity "MR-MailboxReader\*" | Where{$_.Name -ne "Get-User"} | Remove-ManagementRoleEntry
On crée un rôle appelé RG-MailBoxReader qui reprend les autorisations de MR-MailboxReader et l’étendue de MS-Trainers.
New-RoleGroup -name "RG-MailboxReader" -Role "MR-MailboxReader" -CustomRecipientWriteScope "MS-Trainers"
Suite à cette commande, un nouveau groupe dans l’UO Microsoft Exchange Security Groups a été ajouté qui permet d’affecter les permissions du nouveau rôle à des utilisateurs.