Base de connaissances
Accueil » Base de connaissances

Accorder des droits d'emprunt d'identité avec PowerShell

Objectif

Cet article explique comment vous pouvez fournir des droits d'emprunt d'identité à un compte d'administrateur avec PowerShell.

Condition préalable

  • Pour fournir des droits d'emprunt d'identité à un administrateur de votre environnement Office 365 ou de votre serveur Exchange hébergé dans un emplacement distant, connectez-vous à Exchange distant via PowerShell.
  • Pour fournir des droits d'emprunt d'identité à un administrateur de votre Exchange local, assurez-vous que le système dans lequel vous ouvrez PowerShell et le serveur Exchange se trouvent sur le même domaine. Si le système et les serveurs Exchange se trouvent sur des domaines différents, assurez-vous qu'une approbation a été définie entre les domaines.

Étapes

  • Ouvrez Windows PowerShell.
  • Vérifiez si le compte administrateur a déjà reçu des droits d'emprunt d'identité avec l'applet de commande suivante.
    Get-ManagementRoleAssignment -RoleAssignee "$account_name" -Role ApplicationImpersonation -RoleAssigneeType user

    Remplacez $account_name par le nom du compte d'administrateur Exchange.

  • Si le compte administrateur n'a pas reçu de droits d'emprunt d'identité, exécutez l'applet de commande suivante pour affecter ces droits.
    New-ManagementRoleAssignment -Name:$impersonation_Assignment_Name -Role:ApplicationImpersonation -User: "$account_name"

    Remplacez $impersonation_Assignment_Name par un nom unique pour cette opération.

    Remarque : Vous pouvez exclure la section $impersonation_Assignment_Name de l'applet de commande et un nom d'affectation unique sera généré automatiquement.

Le compte administrateur dispose désormais de droits d'emprunt d'identité pour tous les utilisateurs. Vous pouvez également limiter les droits d'emprunt d'identité d'administrateur aux utilisateurs de n'importe quel groupe AD en définissant une nouvelle portée de gestion.

Pour limiter les droits d'emprunt d'identité d'un administrateur à un ensemble spécifique d'utilisateurs, suivez les étapes ci-dessous.

  • Créez une nouvelle portée de gestion.
    $ADGroup = Get-DistributionGroup -Identity "$group_name" New-ManagementScope "$scope_name" -RecipientRestrictionFilter "MemberOfGroup -eq '$($ADGroup.DistinguishedName)'"

    Remplacez $group_name par le nom du groupe AD et $scope_name par un nom unique de votre choix pour la portée.

  • Modifiez les droits d'emprunt d'identité pour qu'ils ne s'appliquent qu'à la portée créée.
    Set-ManagementRoleAssignment "$impersonation_Assignment_Name" -CustomRecipientWriteScope "$scope_name"

L'administrateur dispose maintenant des droits d'emprunt d'identité pour le membre du groupe AD sélectionné.

Révocation des droits d'emprunt d'identité

Pour retirer à tout moment les droits d'emprunt d'identité fournis à un administrateur, exécutez cette applet de commande.

Get-ManagementRoleAssignment -RoleAssignee "$account_name" -Role ApplicationImpersonation -RoleAssigneeType user | Remove-ManagementRoleAssignment

Vous n'avez pas pu trouver la fonctionnalité que vous souhaitiez ? Créer une requête de fonction
Vous avez besoin d'une démonstration complète du produit ? Demandez une démonstration personnalisée