Présentation des étendues exclusives

S’applique à : Exchange Server 2013

Les étendues exclusives constituent un type particulier d’étendue de gestion explicite qui peut être associée à des attributions de rôle de gestion. Les étendues exclusives permettent de gérer les situations où vous possédez un groupe d’objets très importants (comme la boîte aux lettres d’un PDG) et souhaitez contrôler précisément les personnes ayant accès à la gestion de ces objets.

Une attribution de rôle dotée d’une étendue exclusive est appelée attribution de rôle exclusive.

Lorsque vous créez une étendue exclusive, seules les personnes auxquelles cette étendue exclusive (ou une étendue exclusive équivalente) s’applique peuvent modifier les objets qui correspondent à l’étendue. Les personnes affectées au rôle qui ne bénéficient pas de cette étendue exclusive (ou d'une étendue exclusive équivalente) ne peuvent pas modifier les objets qui correspondent à l'étendue, même si leurs propres rôles bénéficient d'étendues qui, autrement, incluraient les objets. Les étendues exclusives remplacent les étendues normales qui ne sont pas exclusives. Ce comportement est similaire au fonctionnement d'une entrée de contrôle d'accès Refuser dans une liste de contrôle d'accès Active Directory.

Une étendue exclusive équivalente désigne une autre étendue exclusive incluant certains objets identiques à ceux d’une autre étendue exclusive. Une correspondance du même groupe d’objets complet n’est pas nécessaire dans les deux étendues. Les deux étendues peuvent être en mesure de modifier une partie ou l’intégralité des objets auxquels elles sont associées.

Création d’étendues exclusives

Une étendue exclusive peut être créée de la même manière que n’importe quelle autre étendue explicite. Vous pouvez spécifier une étendue relative prédéfinie, un filtre de destinataire, de base de données ou de serveur, ou une liste de serveur ou de base de données. Contrairement aux étendues normales, qui ne prennent pas effet tant que vous n'avez pas associé une étendue à une attribution de rôle de gestion, le critère de refus d'une étendue exclusive prend effet immédiatement. Cela signifie que dès qu'une étendue exclusive est créée, les utilisateurs ne peuvent plus accéder aux objets contenus dans cette étendue tant que les attributions de rôles n'ont pas été créées.

Une fois que l'attribution a été créée, l'étendue exclusive autorise l'accès des utilisateurs associés à l'étendue et au rôle de gestion. Si une autre étendue exclusive équivalente correspond aux mêmes objets, l'attribution de rôle associée à cette étendue exclusive est toujours en mesure d'accéder aux objets.

Pour plus d'informations sur les filtres d'étendue de gestion, voir Présentation des filtres d'attribution du rôle de gestion.

Importante

Les délais de réplication Active Directory doivent être pris en compte lorsque vous apportez des modifications à des composants de rôle de gestion, y compris aux étendues exclusives.

Si des objets sont contenus dans plusieurs étendues exclusives, le fait d'appartenir à l'une des étendues exclusives permet d'accéder aux objets. Pour plus d'informations, consultez la section Interaction des étendues exclusives et normales plus loin dans cette rubrique.

Les étendues exclusives déterminent uniquement la portée d'écriture de configuration ou de destinataire explicite d'une attribution de rôle. La portée de lecture de configuration ou de destinataire implicite du rôle attribué à un utilisateur ou un groupe continue de s'appliquer. Par conséquent, les conditions suivantes s'appliquent :

  • Les personnes auxquelles un rôle est attribué continuent de voir les objets qui correspondent à la portée de lecture implicite du rôle.
  • Les personnes dotées d'autres rôles peuvent voir les objets contenus dans une étendue exclusive, à condition que les portées de lecture des autres rôles incluent les objets. Cependant, les objets ne peuvent être modifiés que par les personnes dotées d'un rôle qui est associé à l'étendue exclusive.

Les étendues exclusives doivent être utilisées uniquement avec des rôles de spécialiste ou d'administrateur : elles ne peuvent pas être utilisées avec des rôles d'utilisateur final. Pour plus d'informations sur les rôles, voir Présentation des rôles de gestion.

Interaction des étendues exclusives et normales

L’exemple présenté à la fin de cette section illustre les interactions au sein des étendues exclusives, ainsi que les interactions entre les étendues exclusives et les étendues normales. Les utilisateurs mentionnés dans l’exemple sont dotés des attributs suivants.

Utilisateur Ville Titre Service
Terry Vancouver Comptable Comptabilité
David Vancouver Rédacteur Marketing
Walter Vancouver Directeur Marketing
Bob Vancouver PDG Direction
Christine Vancouver Président Direction
Fred Vancouver Directeur financier Cadre
Martin Vancouver Directeur informatique Cadre
Kim Vancouver Vice-président de l'exploitation Cadre
Jennifer Vancouver Vice-président des technologies Cadre

Les trois attributions de rôle de gestion suivantes gèrent les utilisateurs du tableau précédent. Chaque attribution possède une entendue associée, qui est parfois une étendue exclusive.

Attribution de rôle Filtre d’étendue Exclusive ou normale
Administrateurs des destinataires Ville = Vancouver Normale
Administrateurs des VIP Poste = PDG, directeur financier, directeur informatique ou président Exclusif
Administrateurs des cadres Service = Cadre Exclusif

L'attribution de rôle Administrateurs des destinataires possède une étendue qui correspond à tous les utilisateurs, car chaque utilisateur est situé à Vancouver. S'il n'existait aucune étendue exclusive, l'attribution de rôle Administrateurs des destinataires pourrait ainsi gérer n'importe quel utilisateur. Toutefois, cette organisation a créé deux étendues exclusives : Administrateurs des VIP et Administrateurs des cadres. Ces étendues exclusives limitent les personnes habilitées à gérer les utilisateurs qui correspondent à leur filtre d'étendue respective. L'attribution de rôle Administrateurs des VIP possède un filtre d'étendue qui correspond à tout utilisateur dont le poste est PDG, directeur financier, directeur informatique ou président. L'attribution de rôle Administrateurs des cadres possède un filtre d'étendue qui correspond à tout utilisateur appartenant au service Cadre.

Lorsque les étendues exclusives et normales sont évaluées, le résultat est le suivant :

  • L'attribution de rôle Administrateurs des destinataires peut gérer les utilisateurs Terry, David et Walter. Cette attribution de rôle ne peut gérer aucun autre utilisateur, car les autres utilisateurs correspondent aux filtres d'étendue exclusive des attributions de rôle Administrateurs des VIP et Administrateurs des cadres.

  • L'attribution de rôle Administrateurs des VIP peut gérer les utilisateurs Bob, Christine, Fred et Martin. De fait, le filtre d'étendue exclusif associé à l'attribution de rôle correspond aux attributs sur ces objets. Cette attribution de rôle ne peut pas gérer les utilisateurs Kim et Jennifer, car leurs attributs ne correspondent pas à cette étendue exclusive.

  • L'attribution de rôle Administrateurs des cadres peut gérer les utilisateurs Kim, Jennifer, Fred et Martin. De fait, le filtre d'étendue exclusif associé à l'attribution de rôle correspond aux attributs sur ces objets. Cette attribution de rôle ne peut pas gérer les utilisateurs Bob et Christine, car leurs attributs ne correspondent pas à cette étendue exclusive.

Notez que les deux étendues exclusives peuvent accéder à Fred et Martin. En effet, les attributs de ces utilisateurs correspondent aux filtres des deux étendues exclusives.

Interaction d’étendue exclusive et régulière.

Pour plus d'informations sur les étendues de gestion, voir Présentation des portées du rôle de gestion.