Préparation des autorisations héritées d'Exchange

  • Article

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-11-21

Lors d'une transition de Microsoft Exchange Server 2003 ou Exchange 2000 Server vers Exchange Server 2007, vous devez commencer par accorder des autorisations Exchange spécifiques dans chaque domaine dans lequel vous avez exécuté l'outil DomainPrep d'Exchange 2003 ou Exchange 2000. Pour ce faire, exécutez la commande setup /PrepareLegacyExchangePermissions. Il est recommandé d'exécuter la commande setup /PrepareLegacyExchangePermissions dans le domaine racine de la forêt Active Directory. Vous pouvez exécuter la commande sur un serveur Exchange 2007 donné ou une station de travail d'administration Exchange 2007. Quel que soit l'emplacement depuis lequel vous exécutez la commande setup /PrepareLegacyExchangePermissions, le programme d'installation doit pouvoir communiquer avec un serveur d'annuaire Active Directory exécutant Windows Server 2003 avec Service Pack 1 ou version ultérieure.

L'octroi de ces autorisations est une étape de la préparation du service d'annuaire Active Directory et de vos domaines pour l'installation d'Exchange 2007. Pour obtenir des instructions détaillées, consultez la rubrique Procédure de préparation d'Active Directory et de domaines.

Cette rubrique décrit la raison pour laquelle vous devez exécuter la commande setup /PrepareLegacyExchangePermissions, à quel moment vous devez l'exécuter et les autorisations définies par la commande dans votre organisation Exchange 2007.

Pourquoi exécuter la commande setup /PrepareLegacyExchangePermissions ?

Vous devez exécuter la commande setup /PrepareLegacyExchangePermissions afin qu'Exchange 2003 ou le service de mise à jour de destinataire Exchange 2000 fonctionne correctement après la mise à jour du schéma Active Directory pour Exchange 2007. Cette section décrit le problème principal et sa résolution via l'exécution de la commande.

Problème

Dans Exchange Server 2003 et Exchange 2000 Server, le service de mise à jour de destinataire met à jour certains attributs de boîte aux lettres, tels que l'adresse proxy, sur les objets utilisateur à extension messagerie. Le service de mise à jour de destinataire a l'autorisation de modifier ces attributs car le compte d'ordinateur (nommé <nom_serveur>) pour le serveur sur lequel le service de mise à jour de destinataire est exécuté se trouve dans le groupe Serveurs d'entreprise Exchange (EES). Le groupe EES est créé lors de l'exécution de l'outil DomainPrep d'Exchange Server 2003 ou Exchange 2000 Server. Au lieu d'accorder les autorisations de groupe EES à chaque attribut de boîte aux lettres que le service de mise à jour de destinataire doit modifier, les attributs de boîte aux lettres sont regroupés dans des jeux de propriétés. Lorsque vous exécutez l'outil DomainPrep d'Exchange Server 2003 ou Exchange 2000 Server, Exchange fournit au groupe EES des autorisations pour modifier les jeux de propriétés via les entrées de contrôle d'accès (ACE) qu'Exchange définit dans le conteneur de domaine dans Active Directory.

Exchange 2007 intègre un nouveau rôle d'administrateur Exchange prédéfini : Administrateurs des destinataires Exchange. Ce rôle contient des autorisations pour gérer les attributs de messagerie pour tous les utilisateurs. Les administrateurs Exchange qui sont membres du rôle Administrateurs des destinataires Exchange ne peuvent gérer que les propriétés de messagerie des utilisateurs. Pour activer cette fonctionnalité, Exchange 2007 doit déplacer certains attributs de messagerie d'utilisateurs dans un jeu de propriétés nommé « Jeu de propriétés d'informations d'Exchange ». Pour ce faire, Exchange redéfinit les schémas d'attribut dans Active Directory lors de l'importation du nouveau schéma Exchange 2007. Toutefois, le groupe EES hérité ne dispose pas d'autorisations pour le jeu de propriétés d'informations d'Exchange. Aussi, lors de l'importation du nouveau schéma Exchange 2007, le service de mise à jour de destinataire n'a plus d'autorisation pour les attributs de messagerie des utilisateurs et ne fonctionne plus correctement. (Par exemple, il ne pourra pas définir d'adresses proxy pour les utilisateurs Exchange Server 2003 nouvellement créés.)

Solution

L'exécution de la commande setup /PrepareLegacyExchangePermissions permet au service de mise à jour de destinataire de fonctionner correctement. Avant l'importation du nouveau schéma Exchange 2007, Exchange 2007 doit attribuer de nouvelles autorisations dans chaque domaine dans lequel vous avez exécuté l'outil DomainPrep d'Exchange Server 2003 ou Exchange 2000 Server. La commande setup /PrepareLegacyExchangePermissions octroie ces nouvelles autorisations. Avant d'exécuter setup /PrepareSchema, vous devez exécuter setup /PrepareLegacyExchangePermissions et autoriser la réplication des autorisations dans l'organisation Exchange. Le serveur sur lequel vous exécutez setup /PrepareLegacyExchangePermissions contacte le catalogue global local pour localiser les domaines dans lesquels vous avez exécuté l'outil DomainPrep d'Exchange Server 2003 ou Exchange 2000 Server en recherchant les groupes EES (Serveurs d'entreprise Exchange) et EDS (Serveurs de domaine Exchange). Le serveur doit pouvoir communiquer avec chaque domaine de la forêt dans laquelle vous avez exécuté l'outil DomainPrep d'Exchange Server 2003 ou Exchange 2000 Server. En outre, le compte utilisé pour exécuter setup /PrepareLegacyExchangePermissions doit disposer des autorisations attribuées au groupe de sécurité universel Administrateurs d'entreprise de manière à ce qu'il puisse définir les ACE dans chaque domaine et dans l'organisation Exchange.

Autorisations définies par la commande setup /PrepareLegacyExchangePermissions

L'exécution de la commande setup /PrepareLegacyExchangePermissions permet d'identifier les domaines de la forêt disposant du groupe EES et du groupe Serveurs de domaine Exchange (EDS). Pour chaque domaine disposant de ces groupes, la commande setup /PrepareLegacyExchangePermissions effectue les opérations suivantes :

  • ajout d'une ACE à la liste de contrôle d'accès (ACL) racine de domaine pour attribuer au groupe EES les autorisations WRITE_PROP sur le jeu de propriétés d'informations d'Exchange ;

  • ajout d'une ACE à l'ACL racine de domaine pour attribuer aux utilisateurs authentifiés les autorisations READ_PROP sur le jeu de propriétés d'informations d'Exchange ;

  • ajout d'une ACE au conteneur adminSDHolder du domaine pour attribuer au groupe EES les autorisations WRITE_PROP et READ_PROP sur le jeu de propriétés d'informations d'Exchange ;

  • ajout d'une ACE à la liste de contrôle d'accès du conteneur Organisation Exchange pour attribuer au groupe EDS les autorisations WRITE_PROP sur le jeu de propriétés d'informations d'Exchange.

Nouvelle exécution de la commande Setup /PrepareLegacyExchangePermissions

Dans certains cas, vous devrez exécuter setup /PrepareLegacyExchangePermissions à nouveau :

  • Vous disposez d'un domaine qui contient des serveurs Exchange Server 2003 ou Exchange 2000 Server et vous n'avez pas exécuté DomainPrep.

  • Vous ajoutez un domaine à votre forêt et voulez installer Exchange Server 2003 ou Exchange 2000 Server dans ce domaine.

  • Dans un nouveau domaine ou un domaine existant, vous activez la boîte aux lettres pour des utilisateurs qui se connecteront à des boîtes aux lettres sur des serveurs Exchange Server 2003 ou Exchange 2000 Server dans des domaines dans lesquels vous n'avez pas exécuté DomainPrep.

Dans ces cas, vous devez exécuter setup /PrepareLegacyExchangePermissions à nouveau après avoir exécuté l'outil DomainPrep d'Exchange Server 2003 ou Exchange 2000 Server. Cela permet au service de mise à jour de destinataire Exchange Server 2003 ou Exchange 2000 Server de fonctionner correctement dans ce domaine.