You are here: Home Serveurs Exchange Exchange 2013 Trucs & astuces RBAC ou création délégué des contacts
« L’expérience est une lanterne que l’on porte sur le dos et qui n’éclaire jamais que le chemin parcouru. »
Les utilisateurs lambda ne peuvent pas créer par défaut de contacts dans Active Directory. Lorsque que vous installez Exchange 2013, les utilisateurs se voient affectés de permissions par défaut et cela grâce aux rôles prédéfinies RBAC. A partir du moment ou un utilisateur n'a pas les droits appropriés, lles menus ne s'affichent pas et les cmdlets sont inaccessibles.
Déjà, nous allons voir quel rôle contient les cmdlets gérant les contacts:
Get-ManagementRole -Cmdlet New-MailContact
Nous constatons ici que c'est le rôle "Mail Recipient Creation" qui contient les cmdlets. Lors de la commande suivante, vous lister l'intégralité des commandes liées à ce rôle mais je rappelle que je ne souhaite pas tout déléguer et qu'un rôle prédéfini ne peut être modifié...
Get-ManagementRoleEntry –Identity “Mail Recipient Creation\*”
Nous devrons donc créer un nouveau rôle propre à nos besoins
New-ManagementRole –Name AD-Contact-Editors –Parent “Mail Recipient Creation”
Le rôle actuel étant une pure copie du rôle parent, le plus simple est de supprimer toutes les comdlets de s'aparentant pas aux contacts...
La commande suivante liste les commandes ne correspondant pas aux contacts. Ce sont ces commandes à supprimer.
Get-ManagementRoleEntry -Identity AD-Contact-Editors\* | Where-Object {$_.Name -ne 'Get-MailContact'}
La commande filnale est la suivante:
Get-ManagementRoleEntry -Identity AD-Contact-Editors\* | Where-Object {$_.Name -ne 'Get-MailContact'} | Remove-ManagementRoleEntry
J'ai du basculer sur le powershell Exchange pour que cette commande passe...!!!???
Vérifions les droits restants:
Get-ManagementRoleEntry –Identity AD-Contact-Editors\*
Vous allez me dire d'accord, mais je ne peux que lire les contacts pas les créer!!
Add-ManagementRoleEntry –Identity “AD-Contact-Editors\New-MailContact”
Reste à ajouter ces dernières cmdlets:
Add-ManagementRoleEntry –Identity “AD-Contact-Editors\Remove-MailContact”
Add-ManagementRoleEntry –Identity “AD-Contact-Editors\Get-Recipient”
Vérifions le tout
Get-ManagementRoleEntry –Identity AD-Contact-Editors\*
Il ne reste plus qu'à affecter le rôle RBAC au groupe ou à l'utilisateur désigné.
New-ManagementRoleAssignment -Role AD-Contact-Editors -User User-10
Testons le bon fonctionnement de ce nouveau rôle:
Connectez-vous à votre serveur en vous identifiant avec le compte délégué:
Seuls les liens que vous avez le droit de manipuler apparaissent. Sélectionnez "destinataires - contacts" et créez vos contacts!