Procédure de sécurisation des modèles de destinataire

  • Article

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-03-26

Dans Microsoft Exchange Server 2007, vous pouvez utiliser un destinataire existant comme modèle. Ceci vous permet de configurer des destinataires de façon cohérente sans devoir spécifier explicitement tous les paramètres de configuration. En plus de l’utilisation d’un destinataire existant comme modèle lors de la création de destinataires, vous pouvez également conserver des destinataires spécifiques qui sont dédiés à cette fin. Un destinataire utilisé uniquement comme modèle pour la configuration de nouveaux destinataires est nommé modèle de destinataire.

Un modèle de destinataire n'est pas associé à une personne, une ressource ou un groupe réel. C'est pourquoi, vous devez sécuriser les modèles de destinataire pour réduire les risques associés au fait de disposer d'un compte générique. Ceci est particulièrement important pour les modèles de boîtes aux lettres et d’utilisateurs de messagerie parce qu’ils sont dotés d’informations d'identification d'ouverture de session de service d’annuaire Active Directory et peuvent être utilisés pour accéder aux ressources dans votre organisation de manière imprévisible s’ils ne sont pas correctement sécurisés.

Cette rubrique décrit l'utilisation du composant Utilisateurs et ordinateurs Active Directory et de la console de gestion Exchange ou de l'environnement de ligne de commande Exchange Management Shell pour sécuriser les modèles de destinataire.

Avant de commencer

Pour exécuter cette procédure, vous devez utiliser un compte auquel ont été délégués :

  • le rôle Administrateur des destinataires Exchange ;

  • le rôle Opérateur de compte pour les conteneurs Active Directory applicables.

Pour plus d'informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Exchange 2007, consultez la rubrique Considérations relatives aux autorisations.

Procédure

La procédure exécutée pour sécuriser un modèle de destinataire est la même pour tous les destinataires. Toutefois, vous devez exécuter des tâches supplémentaires pour les destinataires disposant d’identification d’ouverture de sessions Active Directory, tels que les boîtes aux lettres et les utilisateurs de messagerie. Cette rubrique est divisée en plusieurs sections :

  • sécurisation des modèles de boîtes aux lettres et d’utilisateurs de messagerie ;

  • sécurisation des modèles de groupes de distribution, de groupes de distribution dynamiques et de contacts de messagerie.

Sécurisation des modèles de boîtes aux lettres et d’utilisateurs de messagerie

Les modèles de boîtes aux lettres et d’utilisateurs de messagerie sont dotés d'informations d’identification d’ouverture de session Active Directory et peuvent accéder aux ressources pour lesquelles ils disposent d'autorisations. Vous devez par conséquent vérifier que le compte d'utilisateur associé pour un modèle de boîte aux lettres ou d’utilisateur de messagerie n’est jamais utilisé pour accéder aux ressources.

Notes

Bien que les procédures dans cette section présentent la sécurisation d’un modèle de boîte aux lettres, le processus est identique pour un modèle d’utilisateur de messagerie.

Au minimum, pour sécuriser les modèles de boîtes aux lettres et d’utilisateurs de messagerie, vous devez exécuter les procédures suivantes :

Utilisation d’Utilisateurs et ordinateurs Active Directory pour sécuriser un modèle de boîte aux lettres

  1. Ouvrez les Utilisateurs et ordinateurs Active Directory.

  2. Dans l’arborescence de la console, sélectionnez l’unité d’organisation (UO) qui contient le compte d'utilisateur pour le modèle de boîte aux lettres.

  3. Dans le volet Détails, cliquez avec le bouton droit sur le compte d'utilisateur associé au modèle de boîte aux lettres, puis cliquez sur Désactiver le compte. Cette étape permet d’éviter l’utilisation du compte pour ouvrir une session sur Active Directory.

  4. Cliquez avec le bouton droit sur le compte d'utilisateur désactivé, puis cliquez sur Propriétés.

  5. Dans <Boîte aux lettres> Propriétés, sous l'onglet Membre de, cliquez sur Ajouter pour ouvrir la boîte de dialogue Sélectionner les groupes.

  6. Dans le champ Entrer les noms des objets à sélectionner, tapez Comptes de modèles, puis cliquez sur Vérifier les noms.

  7. Cliquez sur OK pour fermer la boîte de dialogue Sélectionner les groupes.

  8. Sous Membre de, cliquez sur le groupe Comptes de modèles, puis sur Définir comme groupe principal.

  9. Sélectionnez le groupe Utilisateurs de domaine, puis cliquez sur Supprimer. Cette étape garantit que le compte ne peut pas obtenir l’accès aux ressources réseau, même s’il est accidentellement autorisé.

    Important

    Si l'utilisateur du modèle est uniquement un membre du groupe de sécurité Utilisateurs de domaine, vous ne pourrez pas supprimer son appartenance à ce groupe car ce dernier est le groupe de sécurité principal pour cet utilisateur. Dans Active Directory, chaque utilisateur doit être membre d'au moins un groupe de sécurité. Vous devez donc créer un groupe de sécurité dédié qui constituera le groupe de sécurité principal pour tous les comptes d'utilisateur que vous utilisez comme modèle. Vous ne devez pas utiliser le groupe de sécurité pour attribuer des autorisations. Pour obtenir la procédure détaillée de sécurisation des groupes, consultez la page Web relative à la sécurisation des groupes d'administration d'Active Directory. Cette procédure suppose que vous ayez déjà créé un groupe de sécurité nommé Comptes modèle à cette fin.

  10. Cliquez sur OK.

Il est recommandé d'exécuter les procédures suivantes pour la sécurisation d'une boîte aux lettres ou d'un modèle d'utilisateur de boîte aux lettres. Toutefois, les paramètres de configuration modifiés à l'aide de ces procédures sont copiés vers les nouveaux destinataires mis en service par l'utilisation de ce modèle. Par conséquent, si vous exécutez la procédure suivante, pensez à réinitialiser ces paramètres pour chaque nouveau destinataire mis en service par l'utilisation de ce modèle.

Utilisation de la console de gestion Exchange pour exécuter des procédures supplémentaires pour la sécurisation d'un modèle de boîte aux lettres

  1. Démarrez la console de gestion Exchange.

  2. Dans l'arborescence de la console, cliquez sur Configuration du destinataire.

  3. Dans le volet Résultats, cliquez avec le bouton droit sur le modèle de boîte aux lettres, puis cliquez sur Propriétés.

  4. Sous l'onglet <modèle de boîte aux lettres> Propriétés, sous l'onglet Général, activez la case à cocher Masquer dans la liste d'adresses Exchange. Ceci empêchera la boîte aux lettres ou le modèle d'utilisateur de boîte aux lettres d'apparaître dans la liste d'adresses globale (LAG) ou d'autres listes d'adresses Exchange.

  5. Dans <Modèle de boîte aux lettres> Propriétés, sous l'onglet Paramètres de flux de messagerie, sélectionnez Restrictions de taille de message, puis cliquez sur Propriétés.

  6. Dans Restrictions de taille de message, activez la case à cocher Taille maximale du message (en Ko) pour Réception de la taille des messages. Tapez 0 dans la zone de texte. Parce que les modèles de destinataire ne sont pas surveillés, cette procédure permet de s'assurer que le modèle de boîte aux lettres ne reçoit pas de messages électroniques.

  7. Cliquez sur OK.

  8. Cliquez sur OK.

Utilisation de l'environnement de ligne de commande Exchange Management Shell pour exécuter des procédures supplémentaires pour la sécurisation d'un modèle de boîte aux lettres

  • Pour exécuter les procédures supplémentaires de sécurisation d'un modèle de boîte aux lettres, exécutez la commande suivante : (Pour un utilisateur de messagerie, utilisez la cmdlet Set-MailUser avec un paramètre identique).

    Set-Mailbox -Identity "Template Mailbox" -HiddenFromAddressListsEnabled $true -MaxReceiveSize 0KB

Pour réinitialiser ces paramètres supplémentaires pour les nouvelles boîtes aux lettres ou utilisateurs de messagerie mis en service à l'aide d'un modèle de destinataire sécurisé, vous pouvez répéter les procédures ci-avant et annuler les modifications. Toutefois, la fonctionnalité de canalisation de l'environnement de ligne de commande Exchange Management Shell permet de mettre en service le nouveau destinataire et de réinitialiser ces paramètres à l'aide d'une seule ligne de code. Vous trouverez ci-dessous un exemple de procédure pour une boîte aux lettres. La procédure est la même pour un utilisateur de messagerie, mais vous devez utiliser les cmdlets Get-MailUser, New-MailUser et Set-MailUser à la place.

Utilisation de l'environnement de ligne de commande Exchange Management Shell pour créer une boîte aux lettres à l'aide d'un modèle de destinataire et réinitialiser les paramètres de configuration supplémentaires de sécurisation du modèle de boîte aux lettres.

  • Exécutez les commandes suivantes pour créer une boîte aux lettres pour John Smith à l'aide du modèle de boîte aux lettres Template Mailbox. (le résultat de la cmdlet New-Mailbox est canalisé vers la cmdlet Set-Mailbox pour réinitialiser les paramètres de configuration supplémentaires de sécurisation du modèle de boîte aux lettres).

    $Temp = Get-Mailbox "Template Mailbox"
New-Mailbox -Name "John Smith" -UserPrincipalName "jsmith@contoso.com" -OrganizationalUnit "contoso.com/Users" -Database "Server01\Mailbox Database" -TemplateInstance $Temp | Set-Mailbox -HiddenFromAddressListsEnabled $false -MaxReceiveSize unlimited

  • Entrez le mot de passe de la nouvelle boîte aux lettres lorsque vous y êtes invité.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques de référence suivantes :

Sécurisation des modèles de groupes de distribution, de groupes de distribution dynamiques et de contacts de messagerie

Il est recommandé d'exécuter la procédure suivante pour sécuriser les modèles de groupes de distribution, de groupes de distribution dynamiques et de contacts de messagerie. Toutefois, les paramètres de configuration modifiés à l'aide de ces procédures sont copiés vers les nouveaux destinataires mis en service par l'utilisation de ce modèle. Par conséquent, si vous exécutez la procédure suivante, pensez à réinitialiser ces paramètres pour chaque nouveau destinataire mis en service par l'utilisation de ce modèle.

importantImportant :
Vous ne devez jamais utiliser un groupe de sécurité universel comme modèle de groupe de distribution. Les groupes de sécurité universels permettent d'accorder des autorisations d'accès aux ressources d'Active Directory. L'utilisation d'un groupe de sécurité principal dans Active Directory comme modèle de groupe de distribution est un risque inutile car vous devez spécifier le type de groupe de distribution pour tout nouveau groupe de distribution.

Notes

Bien que les procédures dans cette section présentent la sécurisation d’un modèle de contact de messagerie, le processus est identique pour un modèle de groupe de distribution ou un modèle de groupe de distribution dynamique.

Utilisation de la console de gestion Exchange pour sécuriser un modèle de contact de messagerie

  1. Démarrez la console de gestion Exchange.

  2. Dans l'arborescence de la console, cliquez sur Configuration du destinataire.

  3. Dans le volet Résultats, cliquez avec le bouton droit sur le modèle de contact de messagerie, puis cliquez sur Propriétés.

  4. Sous l'onglet <Modèle de contact de messagerie> Propriétés, sous l'onglet Général activez la case à cocher Masquer dans la liste d'adresses Exchange. Ceci empêchera le modèle de contact de messagerie d'apparaître dans la liste d'adresses globale (LAG) ou d'autres listes d'adresses Exchange.

  5. Dans <Modèle de contact de messagerie> Propriétés, sous l'onglet Paramètres de flux de messagerie, sélectionnez Restrictions de taille de message, puis cliquez sur Propriétés.

  6. Dans Restrictions de taille de message, activez la case à cocher Taille maximale du message (en Ko) pour Réception de la taille des messages. Tapez 0 dans la zone de texte. Parce que les modèles de destinataire ne sont pas surveillés, cette procédure permet de s'assurer que le modèle de contact de messagerie ne reçoit pas de messages électroniques.

  7. Cliquez sur OK.

  8. Cliquez sur OK.

Utilisation de l'environnement de ligne de commande Exchange Management Shell pour sécuriser un modèle de contact de messagerie

  • Pour exécuter les procédures supplémentaires de sécurisation d'un modèle de contact de messagerie, exécutez la commande suivante : (pour un groupe de distribution, utilisez la cmdlet Set-DistributionGroup, et pour un groupe de distribution dynamique, utilisez la cmdlet Set-DynamicDistributionGroup avec des paramètres identiques).

    Set-MailContact -Identity "Template Mail Contact" -HiddenFromAddressListsEnabled $true -MaxReceiveSize 0KB

Pour réinitialiser ces paramètres supplémentaires pour les destinataires mis en service à l'aide d'un modèle de destinataire sécurisé, vous pouvez répéter les procédures ci-avant et annuler les modifications. Toutefois, la fonctionnalité de canalisation de l'environnement de ligne de commande Exchange Management Shell permet de mettre en service le nouveau destinataire et de réinitialiser ces paramètres à l'aide d'une seule ligne de code. Vous trouverez ci-dessous un exemple de procédure pour un contact de messagerie. La procédure est identique pour un groupe de distribution ou un groupe de distribution dynamique, mais vous devez utiliser les cmdlets Get-DistributionGroup, New-DistributionGroup et Set-DistributionGroup pour le type de destinataire de groupe de distribution et les cmdlets Get-DynamicDistributionGroup, New-DynamicDistributionGroup et Set-DynamicDistributionGroup pour le type de destinataire de groupe de distribution dynamique.

Utilisation de l'environnement de ligne de commande Exchange Management Shell pour créer une boîte aux lettres à l'aide d'un modèle de destinataire et réinitialiser les paramètres de configuration supplémentaires de sécurisation du modèle de boîte aux lettres.

  • Exécutez les commandes suivantes pour créer un contact de messagerie pour John Smith à l'aide du modèle de contact de messagerie Template Mail Contact. (le résultat de la cmdlet New-MailContact est canalisé vers la cmdlet Set-MailContact pour réinitialiser les paramètres de configuration supplémentaires de sécurisation du modèle de contact de messagerie).

    $Temp = Get-MailContact "Template Mail Contact"
New-MailContact -Name "John Smith" -UserPrincipalName "jsmith@contoso.com" -OrganizationalUnit "contoso.com/Users" -Database "Server01\Mailbox Database" -TemplateInstance $Temp | Set-MailContact -HiddenFromAddressListsEnabled $false -MaxReceiveSize unlimited

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques de référence suivantes :

Pour plus d'informations

Pour obtenir la procédure détaillée pour la création de destinataires à l'aide des modèles de destinataire, consultez la rubrique Utilisation de modèles pour créer des destinataires.

Pour en savoir plus sur les destinataires, consultez la rubrique Présentation des destinataires.

Pour plus d'informations sur la fonctionnalité de canalisation de l'environnement de ligne de commande Exchange Management Shell, consultez la rubrique Traitement en pipeline.

Pour plus d'informations sur les interfaces de gestion dans Exchange 2007, consultez la rubrique Interfaces de gestion.