Autorisations Exchange 2007 : Forum Aux Questions

  • Article

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2008-01-24

Cette rubrique répond aux questions concernant les autorisations reçues depuis le lancement de Microsoft Exchange Server 2007.

De nombreuses réponses décrivent des changements d'autorisations spécifiques que vous pouvez effectuer afin d'autoriser ou de désactiver l'accès. Si vous ne connaissez pas les outils que vous pouvez utiliser pour gérer les autorisations, consultez la rubrique Planification et application d'un modèle d'autorisations divisées.

Les questions et réponses sont organisées en deux sections :

  • Déploiement d'Exchange 2007

  • Gestion d'Exchange 2007

Déploiement d'Exchange 2007

Q : Quelles sont les autorisations nécessaires pour exécuter les étapes de préparation de forêt et de domaine ?

R : Les autorisations suivantes sont requises :

  • Pour exécuter la commande Setup /PrepareLegacyExchangePermissions, vous devez être membre du groupe de sécurité Administrateurs de l'entreprise.

  • Pour exécuter la commandeSetup /PrepareSchema , vous devez être membre des groupes de sécurité Administrateurs de schéma et Administrateurs d’entreprise.

  • Pour exécuter la commande Setup /PrepareAD, vous devez être membre du groupe de sécurité Administrateurs de l'entreprise.

Pour pouvoir la commande Setup /PrepareDomain, setup /PrepareDomain:<FQDN> ou Setup /PrepareAllDomains, vous devez être membre du groupe Administrateurs d'entreprise ou du groupe Administrateurs de domaine dans un domaine que vous préparerez.

Q : Que fait /PrepareLegacyExchangePermissions pour Exchange 2007 ?

R : Pour plus d'informations, consultez la rubrique Préparation des autorisations héritées d'Exchange.

Q : Comment Setup /PrepareLegacyExchangePermissions détermine la liste des domaines à mettre à jour ?

R : La tâche Setup /PrepareLegacyExchangePermissions récupère la liste des domaines dans la forêt à partir de la configuration de la forêt. La tâche se connecte alors à un serveur de catalogues global et effectue une recherche dans chaque partition de dénomination du domaine. Ensuite, la tâche détermine si le domaine a été préparé pour Microsoft Exchange 2000 Server ou Exchange Server 2003 en tentant de résoudre les identificateurs de sécurité (SID) des groupes Serveurs du domaine Exchange et Sécurité des serveurs d’entreprise Exchange. Après que la tâche ait construit une liste de domaines préparés précédemment, elle tente d’établir une session LDPA (Lightweight Directory Access Protocol) pour la configuration de domaine avec chaque domaine. Si la tâche ne peut pas établir de session, elle définit les autorisations héritées pour le domaine. Si la tâche ne peut pas établir de sessions à cause d’un problème lié aux autorisations ou parce que le domaine n’est disponible, elle ajoute ce domaine à une liste de domaines inaccessibles. Si la liste de domaines inaccessibles contient des domaines, la tâche échoue après avoir traité la liste des accessibles.

Si la tâche échoue, vous devez déterminer une stratégie corrective, comme l’exécution de ka tâche sur un contrôleur de domaine dans ce domaine en utilisant un compte disposants d’informations d’identifications appropriées, pour s’assurer que le domaine est mis à jour avant de poursuivre les étapes de préparation d’Exchange 2007.

Q : Que fait Setup /PrepareSchema pour l'installation d'Exchange 2007 ?

R : Pour plus d'informations, consultez la rubrique Procédure de préparation d'Active Directory et de domaines.

Q : Que fait Setup /PrepareAD pour l'installation d'Exchange 2007 ?

R : Pour plus d'informations, consultez la rubrique Procédure de préparation d'Active Directory et de domaines.

Q : Que fait Setup /PrepareDomain pour l'installation d'Exchange 2007 ?

R : Pour plus d’informations, consultez la rubrique Procédure de préparation d'Active Directory et de domaines. Elle crée le conteneur d’objets système Microsoft Exchange dans le domaine.

Ce conteneur sert à stocker les objets proxy de dossier public et les objets système liés à Exchange (par exemple, la boîte aux lettres de la banque de boîtes aux lettres).

La commande Setup /PrepareDomain attribue des autorisations spécifiques sur ce dossier. Pour plus d'informations sur les autorisations spécifiques accordées, consultez la rubrique Autorisations pour la configuration d'Exchange Server 2007.

La commande Setup /PrepareDomain crée le groupe global de sécurité Serveurs de domaine Exchange et le place dans le conteneur d’objets système Microsoft Exchange.

Elle ajoute le groupe global de sécurité Serveurs de domaine Exchange au groupe universel de sécurité Serveurs Exchange.

Elle attribue des autorisations au niveau du domaine pour le groupe universel de sécurité Serveurs Exchange. Pour plus d'informations sur les autorisations spécifiques accordées, consultez la rubrique Autorisations pour la configuration d'Exchange Server 2007.

Elle attribue des autorisations au niveau du domaine pour le groupe universel de sécurité Administrateurs des destinataires Exchange. Pour plus d'informations sur les autorisations spécifiques accordées, consultez la rubrique Autorisations pour la configuration d'Exchange Server 2007.

Elle attribue au groupe universel de sécurité Serveurs Exchange l’autorisation Gestion des journaux d’audit et de sécurité définie sur l’unité d’organisation de stratégie de contrôleur de domaine par défaut.

Q : Quand faut-il exécuter Setup /PrepareDomain pour l'installation d'Exchange 2007 ?

R : La commande Setup /PrepareDomain permet aux administrateurs de domaine Active Directory de préparer leurs domaines pour les utilisateurs et serveurs Exchange 2007. Vous devez exécuter la commande Setup /PrepareDomain dans chaque domaine qui contiendra ce qui suit :

  • des serveurs Exchange 2000, Exchange 2003 ou Exchange 2007

  • Objets à extension messagerie

  • des serveurs de catalogue global que des composants d’accès à l'annuaire Exchange peuvent éventuellement utiliser.

Q : Pourquoi le groupe de serveurs Exchange est-il membre du groupe Windows Authorization Access dans chaque domaine disposant de serveurs ou d'utilisateurs Exchange avec des boîtes aux lettres Exchange ?

R : Cette modification a été introduite avec la fonctionnalité PrepareDomain dans Exchange 2007 Service Pack 1. Elle permet au service de transport Microsoft Exchange d'utiliser la collection d'extension Kerberos S4U (Service-for-User) pour effectuer des contrôles d'autorisation sur des ordinateurs qui ne sont pas des contrôleurs de domaine.

Q : J'ai remarqué que Setup /PrepareDomain change la stratégie de contrôleur de domaine. Le groupe de sécurité universel Serveurs Exchange se voit attribuer l'autorisation de gérer les journaux d'audit et de sécurité. Pourquoi est-ce nécessaire ?

R : Pour que le processus de banque d'informations prenne en charge l'audit des boîtes aux lettres, cette autorisation est nécessaire car elle permet au serveur Exchange de lire les listes de contrôle d'accès système (LCAS) dans le domaine. Si cette autorisation est supprimée, les bases de données de serveur Exchange ne sont pas montées. C'est le seul ajustement effectué par la commande Setup /PrepareDomain dans la stratégie de contrôleur de domaine. Cette stratégie est répliquée à d'autres contrôleurs de domaine par l'intermédiaire d'une association de la réplication Active Directory et du service de réplication de fichiers (FRS).

Notes

Si vous avez implémenté d'autres stratégies sur vos unités d'organisation des contrôleurs de domaine, vous devez ajouter cette autorisation à la stratégie la plus applicable.

Déploiement d'Exchange 2007

Q : Quelle est la fonction du groupe de sécurité Serveurs de domaine Exchange ?

R : Lorsqu’un serveur Exchange 2007 est installé, son compte d’ordinateur est ajouté au groupe universel de sécurité Serveurs Exchange. Par défaut, ce groupe est hébergé dans le domaine racine de la forêt. Si le serveur que vous installez est dans un domaine différent, les services Exchange peuvent ne pas démarrer durant le programme d’installation parce que la réplication Active Directory n’a pas répliquée l’appartenance des Serveurs Exchange aux serveurs de catalogue global situé dans le domaine où vous installez Exchange 2007.

Le but du groupe de sécurité Serveurs de domaine Exchange est de s’assurer que durant le programme d’installation les services peuvent démarrer de manière appropriée sans attendre la réplication Active Directory. Le programme d’installation d’Exchange ajoute le compte d’ordinateur au groupe global de sécurité Serveurs de domaine Exchange.

Q : Puis-je déplacer les groupes de sécurité Exchange par défaut vers un autre conteneur ou domaine dans la forêt ?

R : Exchange 2007 utilise un nouvel ensemble de groupes de sécurité pour gérer le modèle d’autorisations et maintenir la coexistence. Ces groupes sont les suivants :

  • Serveurs Exchange

  • Administrateurs Affichage seul d'Exchange.

  • Administrateur de dossiers publics Exchange (Nouveautés d'Exchange 2007 Service Pack 1)

  • Administrateurs des destinataires Exchange ;

  • Administrateurs d'organisation Exchange ;

  • ExchangeLegacyInterop

Par défaut, ces groupes de sécurité sont situé dans le domaine racine dans l’unité d’organisation de groupes de sécuritéMicrosoft Exchange. Ils peuvent être déplacés vers différentes unités d’organisation ainsi que vers d’autres domaines dans la forêt. Le déplacement des groupes dans la forêt est pris en charge car ces groupes disposent de deux propriétés uniques : un GUID connu et un nom unique qui peuvent être modifiés. En utilisant ces deux propriétés et en les ajoutant à l’attribut otherWellKnownObjects de la forêt durant la tâche Setup /PrepareAD, Exchange peut trouver le groupe de sécurité n’importe où dans la forêt. Le service d’annuaire traitera la mise à jour du nom unique (DN) de l’objet lorsqu’il est déplacé. De cette manière, Exchange n’exige pas d’emplacement fixe dans le répertoire.

Déploiement d'Exchange 2007

Q : Mon entreprise ne pas permet pas les autorisations héritées à partir du niveau du domaine Active Directory jusqu'aux unités d'organisation et aux conteneurs enfants. Est-ce que cela peut poser un problème ?

R : La commande Setup /PrepareDomain place les entrées de contrôle d’accès (ACE) pour le groupe Serveurs Exchange et le groupe Administrateurs de destinataires Exchange au niveau de domaine. Par conséquent, Microsoft Exchange ne pourra pas traiter l’objet d’utilisateur si vous bloquez l’héritage. Les administrateurs de destinataires ne pourront dont pas mettre en service les destinataires de messagerie et Exchange ne pourra pas mettre à jour les attributs appropriés sur les objets.

Lorsque vous bloquez l'héritage, vous pouvez soit Supprimer, soit Copier les autorisations sur l'unité d'organisation ou le conteneur sélectionné. si vous décidez de Copier les autorisations, les ACE appropriées seront appliquées. si vous décidez de Supprimer les autorisations, les ACE appropriées ne seront pas appliquées et la mise en service des destinataires ne fonctionnera pas.

Notes

La structure des autorisations peut changer dans les futures versions des service packs d’Microsoft Exchange. Il est donc recommandé d’activer l’héritage, ou au moins, de surveiller les modifications d’autorisations lorsque vous déployez de nouvelles versions d’Microsoft Exchange afin que les conteneurs dont l’héritage est bloqué puissent être mis à jour en conséquence.

Pour définir des autorisations manuellement sur un unité d’organisation afin qu’Exchange 2007 et les destinataires puissent traiter ou accéder à des objets, vous devez attribuer les autorisations suivantes :

  • Attribuez à l’objet de sécurité Utilisateurs authentifiés l’autorisation suivante à tous les types d’objets de destinataires dans l’unité d’organisation :

    • l’accès en lecture pour l’ensemble des propriétés des informations Exchange.

  • Attribuez au groupe Serveurs Exchange les autorisations suivantes à tous les types d’objets de destinataires dans l’unité d’organisation :

    • l'accès en écriture aux attributs suivants :

      groupType

      msExchUMPinChecksum

      msExchMailboxSecurityDescriptor

      publicDelegates

      msExchUMSpokenName

      msExchUserCulture

      userCertificate

      msExchMobileMailboxFlags

      msExchUMServerWriteableFlags

    • l'accès en lecture aux attributs suivants :

      garbageCollPeriod

      canonicalName

      userAccountControl

      memberOf

    • l’accès en lecture pour l’ensemble des propriétés des informations personnelles Exchange.

    • l’accès en lecture pour l’ensemble des propriétés des informations Exchange.

    • Autorisation de modification de mot passe

    • autorisation d’accès en écriture pour les objets de groupe

Si vous utiliser une environnement contenant des serveurs Exchange 2000 ou Exchange 2003, vous devrez aussi attribuer au groupe de sécurité Serveurs d’entreprise Exchange les autorisation suivantes afin que le service de mise à jour des destinataires Exchange 2003 puisse traiter les objets :

  • Contenu de la liste

  • Lire toutes les propriétés

  • Autorisations de lecture

  • Écrire les informations publiques

  • Écrire les informations personnelles

  • Informations Exchange d’écriture

  • Écrire displayName

  • type de groupe autorisé à écrire

  • autorisation d’accès en écriture pour les objets de groupe (cette autorisation est nécessaire pour prendre en charge l'appartenance au groupe caché).

Pour s’assurer que les administrateurs de destinataires Exchange peuvent gérer les objets de destinataire dans l’unité d’organisation, vous devez attribuer au groupe de sécurité Administrateurs de destinataires Exchange les autorisations :

  • Accès en écriture aux jeux de propriétés suivants :

    • informations personnelles Exchange ;

    • informations Exchange

  • Accès en écriture aux attributs suivants :

    legacyExchangeDN

    publicDelegates

    showInAddressBook

    displayName

    garbageCollPeriod

    proxyAddresses

    adminDisplayName

    textEncodedORAddress

    mail

    displayNamePrintable

     

     

  • l'autorisation de création des objets msExchDynamicDistributionList ;

  • le droit utilisateur de suppression d'un objet msExchDynamicDistributionList ;

  • le contrôle total sur les objets msExchDynamicDistributionList.

  • autorisation d’écriture standard, qui comprend Lecture, Contenu de liste, Objets de liste et l’autorisation Lire toutes les propriétés

Vous pouvez définir ces autorisations à l’aide du composant logiciel enfichable ADSI (Active Directory Service Interfaces), des listes de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List) ou la cmdlet Add-ADPermission dans l’environnement de ligne de commande Exchange Management Shell. Pour plus d’informations sur la procédure de définition des autorisations au niveau de l’unité d’organisation, consultez la rubrique Planification et application d'un modèle d'autorisations divisées

Déploiement d'Exchange 2007

Q : Quelles sont les autorisations nécessaires pour installer mon premier serveur Exchange ?

**R :**Si vous avez effectué toutes les étapes de préparation de forêt et de domaines, pour installer votre premier serveur Exchange, vous devez être connecté à Active Directory avec les autorisations suivantes :

  • le rôle Administrateur d'organisation Exchange.

  • Membre du groupe Administrateurs local sur le serveur Exchange cible

Notes

Le rôle Administrateur d’organisation Exchange est requis pour installer le premier serveur pour chaque rôle serveur Exchange 2007.

Q : Quelles sont les autorisations nécessaires pour installer des serveurs Exchange supplémentaires ?

**R :**Si vous avez effectué toutes les étapes de préparation de et que le rôle serveur Exchange 2007 a été installé, pour installer des serveurs Exchange supplémentaires de rôle identique, vous devez être connecté à Active Directory avec les autorisations suivantes :

Q : Comment déléguer les autorisations à d'autres administrateurs pour leur permettre de gérer divers services Exchange 2007 ?

R : Pour déléguer les autorisations à d’autres utilisateurs, utiliser ce qui suit :

  • l’Assistant Ajouter un administrateur Exchange dans la console de gestion Exchange

  • Les cmdlets Add-ExchangeAdministrator dans l’environnement de ligne de commande Exchange Management Shell

Pour déléguer des administrateurs supplémentaires, vous devez être connecté comme utilisateur auquel a été attribué le rôle administrateur d’organisation Exchange.

Déploiement d'Exchange 2007

Q : Si je déplace les comptes d'ordinateur Exchange vers une unité d'organisation différente dans Active Directory, est-ce que cela affecte mes autorisations et ma délégation Exchange ?

R : Non, l'Assistant Ajout d'administrateur Exchange attribue des autorisations dans le contexte d'appellation de configuration d'Active Directory, pas le contexte d'appellation de domaine (où résident les comptes d'ordinateur). Toutefois, vous devez redémarrer le service Surveillance du système Microsoft Exchange sur le serveur Exchange une fois l'objet compte d'ordinateur déplacé. Pour plus d'informations sur la nécessité de redémarrer le serveur Exchange, consultez l’article de base de connaissance Microsoft, La surveillance du système a généré les ID d’événements 9186 et 9187 dans Exchange 2000 et Exchange 2003

Q : Quelle est la différence entre le rôle Administrateur d'organisation Exchange et le rôle Administrateur de serveur Exchange ?

R : Un administrateur d’organisation Exchange peut manipuler et modifier les paramètres pour n’importe quel objet Exchange dans la partition de configuration dans l’organisation Exchange.

Un administrateur de serveur Exchange peut uniquement manipuler l’objet de serveur Exchange, et tout ce qu’il contient, pour lequel l’autorisation a été déléguée à l’administrateur.

Q : Si j'accorde à un utilisateur ou à un groupe des autorisations au niveau de l'organisation Exchange, est-ce que ces autorisations se propagent automatiquement ?

R : Oui. Les autorisations sont héritées, comme dans Exchange 2003.

Q : Quelles sont les autorisations nécessaires pour le compte de service dans Exchange 2003 dans une configuration en cluster ?

R : Le compte des services de cluster ne nécessite aucune autorisation d’organisation Exchange.

Q : Quelles sont les autorisations nécessaires pour installer Exchange 2007 dans une configuration en cluster ?

R : Pour plus d'informations sur l'exécution d'une installation déléguée de serveurs de boîtes aux lettres en cluster, consultez la rubrique Procédure d'exécution d'une installation déléguée d'un serveur de boîtes aux lettres en cluster.

Déploiement d'Exchange 2007

Q : Je dispose d'une application de messagerie tierce qui nécessite un accès complet à la boîte aux lettres de chaque utilisateur. Avec Exchange Server 5.5, nous accordons des autorisations Admin Compte de services à un compte spécial, puis indiquons à l'application d'utiliser ce compte. Comment obtenir les mêmes fonctionnalités dans Exchange 2007 ?

R : La sécurité d’Exchange 2007 fonctionne différemment de celle d’Exchange Server 5.5. En effet, Exchange 2007 n’utilise pas de compte de services du site. À la place, tous les services démarrent comme compte d’ordinateur local.

Si votre compte de connexion est le compte administrateur, un membre des groupes racines Administrateurs de domaines ou Administrateurs d’entreprise, ou un membre du rôle Administrateurs d’organisation Exchange, l’accès à toutes les boîtes aux lettres qui ne vous appartiennent pas vous est explicitement refusé, même si vous possédez les droits d’administration intégrale sur le système Exchange. Toutes les tâches administratives Exchange 2007 peuvent être effectuées sans avoir à attribuer de droits d’administrateur suffisants pour lire le courrier d’autres personnes.

Vous pouvez réaliser les résultats voulus des manières suivantes, mais vous devez vous conformer aux politiques de sécurité et de confidentialité de votre organisation :

  • Dans l'environnement de ligne de commande Exchange Management Shell, utilisez la commande suivante pour autoriser l'accès à toutes les boîtes aux lettres sur une banque de boîtes aux lettres données :

    Add-ADPermission -identity "mailbox database" -user "serviceaccount" -ExtendedRights Receive-As

  • Dans l'environnement de ligne de commande Exchange Management Shell, utilisez la commande suivante pour autoriser l'accès à toutes à une boîte aux lettres individuelle :

    Add-MailboxPermission -identity "user" -user "serviceaccount" -AccessRights FullAccess

Déploiement d'Exchange 2007

Q : Pourquoi les administrateurs de domaine peuvent-il usurper des comptes d'utilisateurs à extension messagerie dans leur domaine ?

R : Active Directory contient un ensemble d'autorisations de base applicable aux objets de l'annuaire. En particulier, Active Directory comporte l'autorisation étendue Envoyer en tant que. Par défaut, les groupes Administrateurs, Administrateurs de domaine, Administrateurs d'entreprise et Opérateurs de comptes possèdent des autorisations « Envoyer en tant que » pour tous les utilisateurs. Les autorisations des groupes Administrateurs et Administrateurs d'entreprise sont héritées du niveau domaine. Les groupes Opérateurs de comptes et Administrateurs de domaine reçoivent des autorisations explicites basées sur la définition de l'objet utilisateur se trouvant dans le schéma Active Directory.

Vous pouvez envisager d’implémenter une entrée de contrôle Refuser Envoyer en tant que applicable aux administrateurs pour les objets utilisateurs situés dans le domaine. Si vous décidez d'implémenter une entrée de contrôle d'accès Refuser Envoyer en tant que pour des objets utilisateur du domaine, tenez compte des considérations suivantes :

  • Une entrée de contrôle d’accès Autoriser explicite remplacera une entrée de contrôle d’accès Refuser héritée. Ceci signifie que les entrées de contrôle d’accès explicites sont appliquées avant celles héritées.

  • Les membres du groupe Administrateurs du domaine ont la possibilité de supprimer l'ACE Refuser et d'ajouter une ACE explicite Autoriser.

  • L'ajout d'une entrée de contrôle d'accès Refuser peut avoir d'autres conséquences dans votre environnement.

Si l'implémentation d'une entrée de contrôle d'accès Refuser Envoyer en tant que applicable aux administrateurs pour les objets utilisateurs situés dans le domaine présente un risque pour votre environnement de messagerie, implémentez une ou plusieurs des solutions suivantes :

Déploiement d'Exchange 2007

Q : Pourquoi les membres du groupe Administrateurs d'entreprise et du groupe Administrateurs de domaine racine disposent-ils d'un contrôle total sur l'organisation Exchange ?

R : Dans Exchange 2000 et les versions ultérieur d’Exchange Server, les données sur l’organisation Exchange ne sont pas stockées dans un répertoire séparé. Exchange stocke les données d’organisation dans Active Directory dans le contexte de dénomination de configuration. Les administrateurs de forêt (membres soit du groupe Administrateurs de l'entreprise, soit du groupe Administrateurs du domaine racine) contrôlent tous les aspects du répertoire et contrôlent les données stockées dans le répertoire. Les administrateurs de forêt doivent contrôler le répertoire, car une seule modification de la configuration peut affecter négativement l'ensemble de la forêt. Le contexte d'appellation de configuration et, par héritage, l'organisation Exchange qui y est stockée possèdent les autorisations suivantes :

  • Administrateurs d'entreprise – Contrôle total

  • Administrateurs de domaine racine – Lire, Écrire, Créer tous les objets enfants, Autorisations spéciales

Outre les autorisations héritées, le programme Setup d'Exchange ajoute une entrée de contrôle d'accès Refuser pour Envoyer en tant que et Recevoir comme pour le groupe Administrateurs de l'entreprise et le groupe Administrateurs du domaine racine. Ceci empêche ces administrateurs d’accéder aux boîtes aux lettres et de les usurper dans la forêt. Pour plus d'informations, consultez la rubrique Autorisations pour la configuration d'Exchange Server 2007.

Vous ne pouvez pas supprimer l'héritage du noeud d'organisation Exchange dans le contexte d'appellation de configuration. Si les administrateurs de messagerie ne font pas confiance aux administrateurs de forêt, les administrateurs de messagerie doivent envisager d'isoler Exchange au sein de sa propre forêt. Pour plus d'informations sur les options de déploiement, visitez la page Guide de déploiement d'Exchange Server 2007.

Si vous ne pouvez pas placer l'organisation Exchange dans une forêt séparée, il est recommandé d'effectuer une ou plusieurs des tâches suivantes :

  • Limitez le nombre d'administrateurs d'entreprise et d'administrateurs de domaine dans le domaine racine en déléguant des tâches spécifiques. Pour plus d'informations, consultez la section Meilleures pratiques pour déléguer l'administration d'Active Directory.

  • Utilisez l'audit pour surveiller les événements de connexion aux comptes membres de tout groupe privilégié. Ils comprennent le groupe Administrateurs de l’entreprise et le groupe racine Administrateurs de domaine.

  • Utilisez l'audit pour surveiller les changements qui se produisent dans la partie CN=<Exchange Organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domaine racine> du répertoire.

Déploiement d'Exchange 2007

Q : Pourquoi les membres du groupe Opérateurs de comptes peuvent modifier les groupes de sécurité du serveur Exchange ?

R : Un groupe privilégié, tel que le groupe de sécurité Opérateurs de comptes, est bénéficie d’autorisations spécifiques dans Active Directory. En particulier, le groupe de sécurité Opérateurs de comptes bénéficie des autorisations de contrôle complet explicites pour tous les objets dans la partition de domaine afin que le groupe puisse gérer les objets.

Vous pouvez envisager d’implémenter une entrée de contrôle Refuser pour les opérateurs de comptes pour ces groupes de sécurité. Si vous décidez d’implémenter une entrée de contrôle d’accès, vous devez prendre en compte ce qui suit :

  • Les opérateurs de comptes bénéficient de contrôle complet à l’aide d’une entrée de contrôle d’accès explicite sur les objets dans le répertoire. Ceci signifie que vous devez placer une entrée de contrôle d’accès Refuser explicite sur chaque groupe que vous voulez restreindre. Prenez en considération qu’entrée de contrôle d’accès Autoriser explicite remplace une entrée de contrôle d’accès Refuser héritée.

  • L'ajout d'une entrée de contrôle d'accès Refuser peut avoir d'autres conséquences dans votre environnement. Pour plus d'informations, consultez la rubrique Planification et application d'un modèle d'autorisations divisées.

Si l'implémentation d'une entrée de contrôle d'accès Refuser applicable aux opérateurs de comptes ou à d’autres groupes privilégiés pour les groupes de sécurité Exchange présente un risque pour votre environnement de messagerie, implémentez une ou plusieurs des solutions suivantes :

  • Limitez le nombre d'opérateurs de comptes dans le domaine en déléguant des tâches spécifiques. Pour plus d'informations, consultez la section Meilleures pratiques pour déléguer l'administration d'Active Directory.

  • Utilisez l'audit pour surveiller les événements de connexion aux comptes membres du groupe de sécurité Opérateur de comptes.

  • Utilisez l’audit pour surveiller les modifications aux groupes de sécurité Exchange.

Q : Pourquoi y a t-il un compte de services du site dans Exchange Server 5.5 alors que les services Exchange 2007 peuvent démarrer en tant que LocalSystem (compte d'ordinateur intégré) ?

R : Exchange Server 5.5 nécessite un compte d'ouverture de session spécial pour ses services en raison d'une limitation de Microsoft Windows NT 4.0. Bien que les comptes d’ordinateur locaux dans Windows NT 4.0 disposaient de jetons, ils n’avaient pas d’informations d’identification. Par conséquent, un compte d’ordinateur ne pouvait pas s’authentifier à un autre. L'authentification Kerberos s'utilise dans Windows Server 2003 et les comptes d'ordinateur possèdent des jetons ainsi que des informations d'authentification.

L'utilisation du compte de l'ordinateur local offre davantage de sécurité qu'un compte défini par un administrateur pour les raisons suivantes :

  • le mot de passe de l'ordinateur local est un nombre hexadécimal aléatoire au lieu d'une chaîne au format lisible ;

  • le mot de passe de l'ordinateur local change automatiquement tous les sept jours ;

  • le compte du service Exchange Server 5.5 doit être exclu des stratégies de verrouillage car une tentative de connexion en force peut désactiver le compte et arrêter les services Exchange.

Déploiement d'Exchange 2007

Gestion d'Exchange 2007

Q : Quelles sont les autorisations nécessaires à la création et à la suppression des utilisateurs Exchange 2007 ?

R : Si vous êtes chargé de la gestion des utilisateurs et des boîtes aux lettres, vous devez disposer des autorisations permettant de créer et gérer des objets destinataires dans Active Directory. Par exemple, vous pouvez être un Administrateur de domaine, un Opérateur de comptes ou vous pouvez avoir délégué l'accès à une unité d'organisation spécifique. Prenez en considération que les membres des comptes privilégiés du domaine enfant doit également disposer du rôle administrateur affichage seul d’Exchange pour gérer les propriétés associées à la messagerie à partir de la console de gestion Exchange et de l’environnement de ligne de commande Exchange. Si vous ne disposez pas d’autorisations élevées, vous devez avoir les autorisations suivantes :

  • Le rôle administrateur Exchange ou les autorisations appropriées lui ont été déléguées. Pour plus d'informations sur la délégation de l'administration des destinataires, consultez les rubriques Planification et application d'un modèle d'autorisations divisées et Considérations relatives aux autorisations.

    • Pour déplacer la boîte aux lettres entre les serveurs, l’administrateur doit être un administrateur d’organisation Exchange ou le rôle administrateur de serveur Exchange doit lui avoir été délégué sur les serveurs source et de destination.

  • Les autorisations appropriées dans la partition de domaine pour créer, supprimer et gérer les objets en question.

De plus, si vous gérez des objets de dossier public, il est recommandé que le compte d'administration, qui est le compte auquel vous vous connectez lorsque vous manipulez des objets dans la console de gestion Exchange ou l’environnement de ligne de commande Exchange Management Shell soit doté d'une extension messagerie ou d'une boîte aux lettres. Dans certains cas, un comportement erratique dans l'interface utilisateur autorisante et des erreurs de résolution de noms complets peuvent se produire si le compte qui administre les objets de dossier public n'a pas d'extension messagerie ou de boîte aux lettres.

Pour plus d'informations, consultez la rubrique sur les autres problèmes dans la section sur le dépannage et la réparation des problèmes de stockage d'Exchange Server 2003 dans la page sur l'utilisation de la banque d'informations Exchange Server 2003.

Déploiement d'Exchange 2007

Q : Pourquoi ai-je besoin d'autorisations supplémentaires non fournies avec le rôle Administrateur des destinataires Exchange pour exécuter certaines opérations au niveau des boîtes aux lettres, telles que la modification d'un type de boîte aux lettres ?

R : Afin de convertir le type d'une boîte aux lettres, nous devons apporter plusieurs modifications à Active Directory qui peuvent nécessiter des privilèges élevés non fournis par le rôle Administrateur des destinataires Exchange. En voici un exemple : nous souhaitons convertir une boîte aux lettres d'utilisateur en boîte aux lettres de salle, comme suit : par défaut, les boîtes aux lettres de ressources sont des comptes d'utilisateurs désactivés à extension boîte aux lettres, tandis que les boîtes aux lettres d'utilisateurs sont des comptes d'utilisateurs à extension boîte aux lettres.  Ainsi, pour convertir la boîte aux lettres du type UserMailbox au type RoomMailbox, nous devons désactiver le compte d'utilisateur, et donc remplacer la valeur 512 (activé) de l'attribut de l'utilisateur userAccountControl par la valeur 514 (désactivé).  En outre, le compte étant à présent désactivé, pour que la boîte aux lettres puisse être utilisée, nous devons définir l'attribut msExchMasterAccountSID et appliquer les autorisations appropriées. Dans ce cas, nous n'attribuons pas un compte lié mais le privilège NT AUTHORITY\SELF à l'attribut msExchMasterAccountSID. Par ailleurs, nous devons nous assurer que le privilège NT AUTHORITY\SELF dispose des autorisations nécessaires pour que le flux de messagerie et la boîte aux lettres ne soient pas affectés. Pour ce faire, nous disposons de deux possibilités. Tout d'abord nous accordons au privilège NT AUTHORITY\SELF l'accès illimité à la boîte aux lettres en mettant à jour le descripteur de sécurité de cette dernière. Deuxièmement, nous octroyons au privilège NT AUTHORITY\SELF le droit étendu Envoyer en tant que et l'accès en lecture et en écriture au jeu de propriété Informations personnelles (de sorte que publicDelegates et d'autres attributs puissent être gérés par NT AUTHORITY\SELF).

Q : Quelles sont les autorisations nécessaires pour modifier les autorisations de boîte aux lettres d'un objet utilisateur ?

R : Pour modifier correctement les autorisations de boîtes aux lettres à travers l’environnement de ligne de commande Exchange Management Shell, vous devez disposer des autorisations suivantes :

  • le rôle Administrateur Affichage seul d'Exchange.

  • l'autorisation Administrer la banque d'informations accordé sur la banque de boîtes aux lettres où réside la boîte aux lettres ;

  • l'autorisation Écriture accordé sur la banque de boîtes aux lettres où réside la boîte aux lettres.

Q : Quelles sont les autorisations nécessaires pour déplacer une boîte aux lettres entre les banques de boîtes aux lettres Exchange ?

R : Vous pouvez accéder à la fonctionnalité Déplacer la boîte aux lettres à partir des journaux de la console gestion Exchange Management Console et de l’environnement de ligne de commande Exchange Management Shell sur la boîte aux lettres source et déplacer les dossiers et les messages vers la boîte aux lettres de destination. Vous pouvez déplacer les boîtes aux lettres entre des banques de boîtes aux lettres dans le même groupe de stockage, à travers différents groupes de stockage sur le même serveur, et entre des serveurs Exchange. Vous devez disposez des autorisations sur l’objet utilisateur dans Active Directory pour modifier ses attributs de boîte aux lettres Exchange. Un utilisateur qui est opérateur de comptes disposera de ces autorisations. Vous devez disposer des autorisations suivantes :

  • Exchange Le rôle administrateur d’organisation ou le rôle administrateur de serveur Exchange doit lui être délégué sur les serveurs de boîtes aux lettres Exchange 2007 source et cible.

    Notes

    si vous déplacer des boîtes aux lettres entre les groupes d’administration dans un environnement mixte Exchange 2007–Exchange 2003, le rôle administrateur  Exchange doit vous être délégué sur les groupes d’administration source et cible.

  • le membre du groupe Administrateurs sur la station de travail ou le serveur local (pour créer un profil MAPI dynamique).

Déploiement d'Exchange 2007

Q : Quelles sont les autorisations nécessaires à la création d’une nouvelle banque de boîtes aux lettres ou de dossiers publics ou d’un groupe de stockage sur un serveur Exchange 2007 ?

R : Vous devez être connecté avec les autorisations suivantes :

  • le rôle administrateur d’organisation Exchange ou le rôle administrateur de serveur Exchange doit lui être délégué sur le serveur de boîtes aux lettres Exchange 2007 ;

    Notes

    Les administrateurs de serveur Exchange ne peuvent pas créer de bases de données de dossiers publics.

Q : J’ai constaté que plusieurs identificateurs de sécurité (SID) pour divers connecteurs de réception et d’envoi ne sont pas résolus. Pourquoi ?

R : Certains groupes logiques utilisés pour attribuer les autorisations à divers connecteurs de réception et d’envoi sont représentés par un SID et ne disposent pas de nom affiché. Dans de tels cas, la cmdlet Get-ADPermission affiche uniquement le SID. Les SID suivants ont été définis dans le transport Exchange 2007 :

  • Serveurs de transport Hub dans la même organisation : S-1-9-1419165041-1139599005-3936102811-1022490595-21

    Notes

    Pour l’authentification et l’autorisation entre deux serveurs de transport Hub dans le même domaine, le compte d’ordinateur membre du groupe de sécurité Serveurs Exchange est utilisé.

  • Serveurs de transport Edge approuvés : S-1-9-1419165041-1139599005-3936102811-1022490595-22

  • Serveurs tiers approuvés, servant le ou les mêmes domaines faisant autorité : S-1-9-1419165041-1139599005-3936102811-1022490595-23

  • Exchange 2003 serveurs dans la même organisation : S-1-9-1419165041-1139599005-3936102811-1022490595-24 ;

  • Serveurs de transport partenaires : S-1-9-1419165041-1139599005-3936102811-1022490595-10

Déploiement d'Exchange 2007

Q : Quelles sont les autorisations nécessaires pour rechercher un message ?

R : Pour rechercher plusieurs boîtes aux lettres à l’aide de la tâche Export-Mailbox, l’administrateur doit disposer des autorisations suivantes :

  • le rôle Administrateur de serveur Exchange ou supérieur sur les serveurs de boîtes aux lettres source et cible.

  • Membre du groupe Administrateurs local sur station de travail ou le serveur local où la tâche est exécutée.

Q : Quelles sont les autorisations nécessaires pour suivre un message ?

R : Les autorisations suivantes sont obligatoires pour suivre un message :

  • pour la version de publication (RTM) d'Exchange 2007     le rôle Administrateur de serveur Exchange ou supérieur sur les serveurs de boîtes aux lettres et de transport Hub que la tâche peut interroger

  • Nouveautés d'Exchange 2007 Service Pack 1 le rôle Administrateur Affichage seul d'Exchange ou supérieur au sein de l’organisation

  • l’administrateur local sur le serveur de transport Edge

  • l’administrateur local sur la station de travail où la tâche est exécutée

    Notes

    Dans Exchange 2007 RTM, vous devez redémarrer le service de recherche de journal de transport Microsoft Exchange après avoir accorder le rôle administrateur de serveur Exchange à un administrateur pour qu’il puisse suivre les messages.

Q : Quelles sont les autorisations nécessaires pour exécuter l’Assistant Résolution de problèmes Exchange ?

R : Les autorisations suivantes sont obligatoires pour exécuter l’analyseur de flux de messagerie Exchange :

  • Administrateur de domaine ou membre du groupe BUILTIN\Administrateurs sur le serveur Active Directory pour énumérer les informations Active Directory et appeler les fournisseurs WMI (Microsoft Windows Management Instrumentation) sur le contrôleur de domaine et les serveurs de catalogue global ;

  • membre du groupe Administrateurs local sur chaque serveur Exchange pour appeler les fournisseurs WMI et accéder au Registre et à la métabase IIS ;

  • Rôle Administrateur Affichage seul d'Exchange ou d'un rôle supérieur

Les autorisations nécessaires pour exécuter l’analyseur de résolution de problèmes de performance Exchange sont les suivantes :

  • autorisations Utilisateur de domaine ou supérieures sur le serveur de catalogue global spécifié à l'étape des connexions ;

  • membre du groupe Administrateur local sur chaque serveur à analyser exécutant Microsoft Exchange. Ces autorisations sont requises pour accéder au WMI, au registre et aux données de performances.

Les autorisations nécessaires pour exécuter l’analyseur de récupération d’urgence Exchange sont les suivantes :

  • membre du groupe Administrateur local sur chaque serveur Exchange pour appeler les fournisseurs WMI et accéder au Registre et à la métabase, et accéder aux fichiers journaux de la base de données et des transactions et au moteur de base de données ;

  • Le rôle administrateur de serveur Exchange ou supérieur sur chaque serveur

Déploiement d'Exchange 2007

Q : Quelles sont les autorisations nécessaires pour exécuter l’analyseur des meilleures pratiques Microsoft Exchange ?

R : Pour pouvoir exécuter Exchange Best Practices Analyzer, vous devez disposer des autorisations suivantes :

  • Rôle Administrateur Affichage seul d'Exchange ou d'un rôle supérieur

  • les autorisations d’administrateur de machine pour énumérer les informations Active Directory et appeler les fournisseurs WMI sur les serveurs de contrôleur de domaine ou de catalogue global

  • membre du groupe Administrateurs local sur chaque serveur Exchange pour appeler les fournisseurs WMI et accéder au Registre et à la métabase IIS ;

Q : Quelles sont les autorisations nécessaires pour gérer les files d’attente de messages ?

R : Pour gérer les files d’attente de messages, vous devez disposer des autorisations suivantes :

  • Vous devez être membre du groupe d’administrateurs local sur les serveurs de transport Edge,

  • Pour Exchange 2007 RTM   Vous devez être membre du rôle administrateur de serveur Exchange ou supérieur sur les serveurs de transport Hub.

  • **Pour Exchange 2007 Service Pack 1 **   Vous devez être membre du rôle administrateur affichage seul Exchange ou supérieur sur les serveurs de transport Hub pour afficher les listes d’attente. Vous devez être membre du rôle administrateur de serveur Exchange ou supérieur pour manipuler les files d’attente.

Déploiement d'Exchange 2007