Déploiement d'Exchange Server 2003

Article
10/25/2013

Dernière rubrique modifiée : 2007-05-18

Les autorisations définies dans cette rubrique s'appliquent également aux déploiements d'Exchange 2000 Server.

Quelles sont les autorisations nécessaires pour exécuter ForestPrep pour l'installation d'Exchange Server 2003 ?

ForestPrep met à jour le schéma du service d'annuaire Active Directory® et crée l'objet d'organisation Exchange. En outre, vous pouvez définir le premier compte d'administrateur Exchange Server 2003. Ce compte peut être un objet utilisateur ou un objet de groupe. Pour une question de simplicité, il est recommandé d'utiliser un objet de groupe. Vous devez être connecté en tant qu'utilisateur avec les autorisations suivantes :

administrateurs du schéma ;
administrateurs de l'entreprise.

ForestPrep doit être exécuté dans le domaine qui contient le contrôleur de schéma Active Directory. Par défaut, ce domaine est le domaine racine dans la forêt. Il n'est pas nécessaire d'exécuter ForestPrep sur le contrôleur de schéma ; n'importe quel ordinateur Windows® 2000 ou Windows Server™ 2003 dans le domaine convient. Toutefois, il est fortement recommandé d'exécuter ForestPrep sur le contrôleur de schéma pour que les interruptions et les délais d'attente réseau n'affectent pas la mise à jour du schéma.

Pourquoi certaines applications tierces s'arrêtent de fonctionner après l'exécution d'Exchange Server 2003 ForestPrep ?

Après l'exécution d'Exchange Server 2003 ForestPrep, certaines applications tierces peuvent enregistrer des événements d'erreur en raison d'une erreur d'autorisations lorsque vous accédez aux boîtes aux lettres.

Il est probable que l'accès aux boîtes aux lettres par ces applications dépende de l'appartenance au groupe Serveurs de domaine Exchange. Cependant, sur chaque installation de serveur et d'Exchange Server 2003 ForestPrep, une « entrée de contrôle d'accès refusé » est désormais en place sur ce groupe sur le conteneur « Serveurs ». Ce changement a été apporté afin de limiter un point d'accès d'attaque potentiel et de permettre d'accroître la sécurité globale du système de messagerie.

Pour continuer de permettre à vos applications d'accéder aux données de boîte aux lettres, créez un groupe et placez les comptes du service de l'application dans ce groupe. Accordez à ce groupe les autorisations « Envoyer en tant que » et « Recevoir comme » sur le conteneur de configuration Exchange approprié comme l'objet Organisation. Pour renforcer davantage la sécurité, configurez les autorisations uniquement sur les banques de boîtes aux lettres vers lesquelles l'application nécessite un accès.

Que fait DomainPrep pour l'installation d'Exchange Server 2003 ?

DomainPrep permet aux administrateurs de domaine du service d'annuaire Microsoft Active Directory® de préparer leurs domaines pour les utilisateurs et/ou serveurs Exchange 2000 Server ou Exchange Server 2003. Lors de son exécution, DomainPrep effectue les actions suivantes :

Crée le groupe de domaine local « Serveurs d'entreprise Exchange » dans le conteneur Utilisateurs du domaine.
- Ce groupe contient le groupe « Serveurs de domaine Exchange » de chaque domaine qui possède un service de mise à jour de destinataire.
- Les membres de ce groupe sont gérés par un processus dans le service Surveillance du système Exchange.
- Accorde l'autorisation de « contrôle total » aux Administrateurs intégraux Exchange org et au groupe « Serveurs d'entreprise Exchange » sur cet objet (le service de mise à jour de destinataire ajoute des Administrateurs intégraux Exchange Org lorsqu'ils sont délégués).
Crée le groupe global « Serveurs de domaine Exchange » dans le conteneur Utilisateurs du domaine.
- Ce groupe contient l'ensemble des serveurs Exchange 2000 Server et Exchange Server 2003 du domaine.
- Les membres de ce groupe sont gérés par un processus dans le service Surveillance du système (même si le programme d'installation ajoute le serveur à ce groupe).
- Accorde l'autorisation de « contrôle total » aux Administrateurs intégraux Exchange org et au groupe « Serveurs d'entreprise Exchange » sur cet objet (le service de mise à jour de destinataire ajoute des Administrateurs intégraux Exchange Org lorsqu'ils sont délégués).
Crée le conteneur « Objets système Microsoft Exchange » à la racine du domaine.
- Ce conteneur sert à stocker les objets proxy de dossier public et les objets système liés à Exchange (par exemple, la boîte aux lettres de la banque de boîtes aux lettres).
- Attribue des autorisations spécifiques sur ce dossier. Pour plus d'informations sur les autorisations spécifiques accordées, voir la rubrique « Autorisations accordées au cours de l'installation d'Exchange ».
Attribue des autorisations au niveau du domaine pour le groupe « Serveurs d'entreprise Exchange ». Pour plus d'informations sur les autorisations spécifiques accordées, voir la rubrique « Autorisations accordées au cours de l'installation d'Exchange ».
Attribue au groupe « Serveurs d'entreprise Exchange » le droit de l'utilisateur « Gestion des journaux d'audit et de sécurité » sur la stratégie de contrôleur de domaine par défaut (objet Stratégie de groupe sur l'unité d'organisation des contrôleurs de domaine).
Attribue des autorisations spécifiques sur le conteneur adminSDHolder du domaine pour le groupe « Serveurs d'entreprise Exchange ». Pour plus d'informations sur les autorisations spécifiques accordées, voir la rubrique « Autorisations accordées au cours de l'installation d'Exchange ».
Attribue des autorisations spécifiques au groupe « Serveurs d'entreprise Exchange » sur le groupe de domaine local Accès compatible pré-Windows 2000 Server pour que le service de mise à jour de destinataire puisse ajouter le groupe « Serveurs de domaine Exchange » de chaque domaine aux membres de ce groupe. Pour plus d'informations sur les autorisations spécifiques accordées, voir la rubrique Autorisations accordées au cours de l'installation d'Exchange.

Quand faut-il exécuter DomainPrep pour l'installation d'Exchange Server 2003 ?

DomainPrep permet aux administrateurs de domaine Active Directory de préparer leurs domaines pour les utilisateurs et/ou serveurs Exchange 2000 Server ou Exchange Server 2003. Vous devez exécuter DomainPrep dans chaque domaine qui contient :

des serveurs Exchange 2000 Server ou Exchange Server 2003 ;
des objets à extension messagerie ;
des serveurs de catalogue global que des composants Accès à l'annuaire Exchange peuvent éventuellement utiliser.

Par ailleurs, vous devez également exécuter DomainPrep sur le domaine racine dans la forêt pour vérifier que les objets proxy de dossier public sont créés correctement.

DomainPrep crée un groupe de sécurité globale Serveurs de domaine Exchange, un groupe de sécurité local Serveurs d'entreprise Exchange, et configure les autorisations pour que le serveur Exchange puisse accéder à la base de données Active Directory. Pour exécuter DomainPrep, vous devez être connecté en tant qu'utilisateur membre du groupe Administrateurs de domaine dans le domaine où DomainPrep doit s'exécuter.

J'ai remarqué que DomainPrep change la stratégie de contrôleur de domaine. Le groupe Serveurs d'entreprise Exchange se voit attribuer l'autorisation « Gestion des journaux d'audit et de sécurité ». Pourquoi est-ce nécessaire ?

Pour que le processus de banque d'informations prenne en charge l'audit des boîtes aux lettres, cette autorisation est nécessaire car elle permet au serveur Exchange de lire les listes de contrôle d'accès système au sein du domaine. Si cette autorisation est supprimée, les bases de données de serveur Exchange ne seront pas montées. C'est le seul ajustement effectué par DomainPrep dans la stratégie de contrôleur de domaine. Cette stratégie est répliquée à d'autres contrôleurs de domaine par l'intermédiaire d'une association de la réplication Active Directory et du service de réplication de fichiers. Vous pouvez utiliser l'outil policytest.exe fourni dans le dossier Support\ExDeploy sur le support Exchange Server 2003 afin de vérifier l'état de la réplication de la stratégie ajustée.

Remarque :
Si vous avez implémenté d'autres stratégies sur vos unités d'organisation des contrôleurs de domaine, vous devez ajouter ce droit à la stratégie la plus applicable.

Quelle est la fonction des groupes Serveurs de domaine Exchange et Serveurs d'entreprise Exchange ?

Ces deux groupes sont créés grâce à DomainPrep. Ils résident dans le conteneur Utilisateurs du domaine et ne doivent pas être déplacés ou renommés (sinon, les ordinateurs exécutant Exchange 2000 Server ou Exchange Server 2003 dans le domaine s'arrêtent). À chaque installation d'Exchange sur un ordinateur, le compte de l'ordinateur est ajouté au groupe de sécurité globale Serveurs de domaine Exchange local. À son tour, ce groupe est membre du groupe de sécurité local Serveurs de domaine Exchange dans chaque domaine. Le service de mise à jour de destinataire est chargé de veiller à ce que toutes les imbrications de groupe Exchange soient complètes dans la forêt. Le groupe Serveurs d'entreprise Exchange se voit attribuer plusieurs autorisations sur le contexte d'appellation de domaine dans Active Directory. Grâce à ces autorisations héritées, le service de mise à jour de destinataire peut modifier les attributs spécifiques à Exchange sur des comptes d'utilisateurs dans chaque domaine.

Pourquoi le groupe Accès compatible pré-Windows 2000 contient-il le groupe Serveurs de domaine Exchange ?

Dans le modèle de sécurité Exchange, chaque domaine contient deux groupes : un groupe de domaines global appelé Serveurs de domaine Exchange et un groupe de domaines local appelé Serveurs d'entreprise Exchange. Le groupe Serveurs de domaine Exchange contient tous les serveurs Exchange de ce domaine. Le groupe Serveurs d'entreprise Exchange contient les groupes Serveurs de domaine Exchange de tous les domaines situés dans la forêt où vous avez exécuté DomainPrep. DomainPrep attribue au groupe Serveurs d'entreprise Exchange des autorisations en lecture et écriture pour divers attributs liés au courrier concernant des objets de partition de domaine. Une fois que vous avez exécuté DomainPrep, tous les serveurs Exchange devraient avoir ces autorisations de lecture et écriture dans les deux niveaux d'appartenance à un groupe.

Dans Exchange 2000 Server, tous les serveurs Exchange n'ont pas toujours les autorisations de lecture et écriture nécessaires après l'exécution de DomainPrep. En particulier, si un serveur Exchange tente de lire des attributs dans un objet utilisateur à extension messagerie de domaine et est connecté à un serveur de catalogue global dans un autre domaine que celui où se trouve l'utilisateur, le groupe Serveurs d'entreprise Exchange ne figure pas dans le jeton de sécurité Exchange ; par conséquent, les autorisations de lecture et écriture du groupe Serveurs d'entreprise Exchange sont sans effet. Dans ce cas, le serveur Exchange fait office d'utilisateur authentifié.

Ce n'est pas un problème lorsque le domaine est activé avec « Autorisations compatibles avec les applications pré-Windows 2000 », car l'entité de sécurité Tout le monde (et, dans Windows Server™ 2003, l'entité de sécurité Connexion anonyme) possède des autorisations de lecture pour tous les attributs de tous les objets contenus dans le domaine. Le serveur Exchange a donc accès aux données nécessaires.

En guise de protection contre les situations où le domaine n'a peut-être pas été préparé pour les applications pré-Windows 2000, Exchange Server 2003, DomainPrep ajoute le groupe Serveurs de domaine Exchange au groupe BUILTIN\Accès compatible pré-Windows 2000 au sein du domaine. De plus, DomainPrep ajoute une entrée de contrôle d'accès au groupe Accès compatible pré-Windows 2000 afin de permettre au groupe Serveurs d'entreprise Exchange de modifier les membres du groupe Accès compatible pré-Windows 2000.

La stratégie de mon entreprise est de ne pas permettre les autorisations héritées à partir du niveau du domaine Active Directory jusqu'aux unités d'organisation et aux conteneurs enfants. Est-ce que cela peut poser un problème ?

DomainPrep place uniquement les entrées de contrôle d'accès pour le groupe Serveurs d'entreprise Exchange au niveau du domaine ; par conséquent, si vous bloquez l'héritage, le service de mise à jour de destinataire ne pourra pas traiter les objets utilisateur. Il en résulte que les nouveaux utilisateurs ne pourront pas se connecter à Exchange et que les modifications de stratégie affectant les utilisateurs existants ne seront pas appliquées.

Lorsque vous bloquez l'héritage, vous pouvez soit « Supprimer », soit « Copier » les autorisations sur l'unité d'organisation/conteneur sélectionnée. Si vous choisissez de « Copier » les autorisations, le service de mise à jour de destinataire continue de traiter les objets. Si vous choisissez de « Supprimer » les autorisations, le service de mise à jour de destinataire ne peut pas fonctionner dans ce conteneur.

Si vous souhaitez définir des autorisations manuellement sur une unité d'organisation pour permettre au service de mise à jour de destinataire de traiter des objets, attribuez au groupe Serveurs d'entreprise Exchange les autorisations suivantes à tous les objets utilisateur dans l'unité d'organisation :

Lister le contenu
Lire toutes les propriétés
Autorisations de lecture
Écrire les informations publiques
Écrire les informations personnelles
Écrire le type de groupe
Écrire le nom complet

En outre, le groupe Serveurs d'entreprise Exchange doit avoir l'autorisation « Modifier les autorisations » sur les objets de groupe. Cette autorisation est nécessaire pour prendre en charge l'appartenance au groupe caché.

Il est possible de définir toutes ces autorisations à l'aide du composant logiciel enfichable MMC ADSI Edit. Pour plus d'informations sur la définition des autorisations au niveau de l'unité d'organisation, voir la rubrique Mise en œuvre d'un modèle d'autorisations divisées.

En consultant l'onglet Autorisations avancées sur l'objet de domaine, je constate que le groupe « Serveurs d'entreprise Exchange » apparaît plusieurs fois. Cependant, pourquoi la plupart des autorisations sont-elles vides ?

Le groupe Serveurs d'entreprise Exchange nécessite des autorisations au niveau du domaine pour que les ordinateurs exécutant Exchange 2000 Server puissent traiter les nouveaux utilisateurs avec boîte aux lettres et à extension messagerie. Par exemple, lors de la création d'un nouvel utilisateur avec boîte aux lettres, le service de mise à jour de destinataire écrit un ensemble d'adresses de messagerie sur l'objet et place l'utilisateur dans les listes d'adresses correctes. Le service de mise à jour de destinataire s'exécute dans le cadre du processus Surveillance du système Exchange sur un serveur Exchange. Comme l'objet ordinateur du serveur Exchange est membre du groupe Serveurs de domaine Exchange (qui, à son tour, est membre du groupe Serveurs d'entreprise Exchange), le service de mise à jour de destinataire peut traiter correctement les mises à jour sur les objets du domaine.

Les autorisations peuvent être vides dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory car l'interface n'affiche pas l'ensemble des autorisations détaillées qui peuvent être octroyées dans Active Directory. Par conséquent, les autorisations ont été accordées, mais elles ne sont pas visibles depuis l'interface. Pour afficher toutes les autorisations détaillées, utilisez l'outil Dsalcs.exe de la manière décrite dans la rubrique Mise en œuvre d'un modèle d'autorisations divisées.

Quelles sont les autorisations nécessaires pour installer mon premier serveur Exchange ?

Si ForestPrep et DomainPrep ont été exécutés, pour installer votre premier serveur Exchange, vous devez être connecté à Active Directory avec les autorisations suivantes :

rôle Administrateur intégral Exchange (défini au cours de ForestPrep) ;
membre du groupe Administrateurs local sur le serveur Exchange cible.

Par ailleurs, si vous rejoignez un site Exchange Server 5.5 existant, le compte connecté doit posséder les autorisations suivantes pour accéder à l'annuaire Exchange Server 5.5 et la personne chargée d'installer Exchange doit connaître le nom et le mot de passe du compte des services du site :

rôle Admin sur le contexte d'appellation du site Exchange Server 5.5 (pour le site Exchange que vous souhaitez rejoindre) ;
rôle Admin sur le contexte d'appellation de configuration Exchange Server 5.5 (pour le site Exchange que vous souhaitez rejoindre) ;

Une approbation bidirectionnelle est nécessaire entre le domaine où vous installez Exchange 2000 Server ou Exchange Server 2003 et le domaine où réside le serveur chargé d'exécuter Exchange Server 5.5.

Deux exigences indépendantes nécessitent une approbation bidirectionnelle entre le domaine Windows NT® et Active Directory. L'approbation d'Active Directory vers Windows NT est nécessaire car l'agent de transfert de messages Exchange Server 2003 (MTA) et le service de réplication de sites doivent utiliser le compte de services du site Exchange Server 5.5 présent dans le domaine Windows NT. La deuxième approbation à sens unique, de Windows NT vers Active Directory, est nécessaire pour fournir les droits appropriés pour Exchange Server 2003 (le compte spécifié lorsque vous installez dans un site Exchange Server 5.5) pour lire et écrire dans les contextes d'appellation de configuration, de site et d'organisation Exchange Server 5.5.

Comment déléguer les autorisations à d'autres administrateurs pour leur permettre de gérer divers services Exchange Server 2003 ?

Pour déléguer des autorisations à d'autres utilisateurs, utilisez l'Assistant Délégation Exchange qui fait partie de la console du Gestionnaire système Exchange.

Vous devez être connecté en tant qu'utilisateur avec le rôle Administrateur intégral Exchange dans l'organisation pour utiliser l'Assistant Délégation Exchange. C'est pour cette raison, et des raisons de performance, qu'il est recommandé de déléguer le contrôle à des objets de groupe plutôt que directement à des utilisateurs. Par exemple, vous pouvez créer un groupe Active Directory appelé « Administrateurs Exchange Seattle ». À l'aide de l'Assistant Délégation Exchange, vous pouvez autoriser des membres de ce groupe à administrer le groupe Administrateurs « Seattle ». Un administrateur de domaine ou équivalent peut changer l'appartenance de l'objet de groupe pour inclure les comptes d'administrateurs pertinents.

Si je déplace les comptes d'ordinateur Exchange vers une unité d'organisation différente dans Active Directory, est-ce que cela affecte mes autorisations et ma délégation Exchange ?

Non, l'Assistant Délégation d'administration Exchange attribue des autorisations dans le contexte d'appellation de configuration d'Active Directory, pas le contexte d'appellation de domaine (où réside les comptes d'ordinateur). Cependant, vous devrez redémarrer la Surveillance système sur le serveur Exchange après avoir déplacé l'objet de compte d'ordinateur. Pour plus d'informations sur les raisons du redémarrage nécessaire du serveur Exchange, voir l'article 271335 de la Base de connaissances Microsoft sur le service de surveillance du système qui génère des messages d'ID d'événement 9186 et 9187.

Quelle est la différence entre l'Administrateur intégral Exchange et le rôle Administrateur Exchange ?

Un Administrateur intégral Exchange peut manipuler n'importe quel objet Exchange dans le contexte d'appellation de configuration. En outre, les administrateurs complets sont autorisés à modifier les paramètres suivants sous l'onglet Sécurité des objets suivants :

Bases de données Exchange
Hiérarchies de dossier public d'application et MAPI
Listes d'adresses

Un administrateur Exchange peut manipuler n'importe quel objet Exchange, mais il ne peut pas déléguer d'autorisations ou changer les paramètres sous l'onglet Sécurité sur les objets Exchange répertoriés ci-dessus. Cependant, un administrateur Exchange peut changer les autorisations (onglet Sécurité) sur des dossiers publics.

Si j'accorde à un utilisateur ou à un groupe des autorisations au niveau de l'organisation Exchange, est-ce que ces autorisations se propagent automatiquement à tous les groupes d'administration ?

Oui. Contrairement à Exchange Server 5.5, les autorisations Exchange Server 2003 sont héritées.

Quelles sont les autorisations nécessaires pour installer les serveurs suivants qui exécutent Exchange Server 2003 dans mon organisation ?

Dans Exchange 2000 Server, les administrateurs doivent recevoir le rôle administratif Administrateur intégral Exchange au niveau de l'organisation pour installer et pour supprimer Exchange 2000 Server, pour mettre à niveau des serveurs et pour effectuer une récupération d'urgence sur des serveurs. Cette exigence a été modifiée dans Exchange Server 2003 pour permettre aux administrateurs qui reçoivent le rôle administratif Administrateur intégral Exchange au niveau du groupe d'administration d'installer et de supprimer Exchange Server 2003, de mettre à niveau des serveurs et d'effectuer une récupération d'urgence sur des serveurs appartenant à ce groupe d'administration.

Les considérations suivantes s'appliquent lorsque vous installez Exchange Server 2003 sur des serveurs en tant qu'administrateur qui dispose des autorisations Administrateur intégral Exchange au niveau du groupe d'administration uniquement :

Un administrateur de domaine doit ajouter manuellement le compte d'ordinateur du serveur au groupe Serveurs de domaine Exchange.
Un administrateur qui dispose des autorisations Administrateur intégral Exchange au niveau de l'organisation doit effectuer la première installation d'Exchange Server 2003 sur un ordinateur qui se trouve dans une organisation.
Un administrateur qui dispose des autorisations Administrateur intégral Exchange au niveau de l'organisation doit effectuer la première installation d'Exchange Server 2003 dans un domaine Active Directory.
Un administrateur qui dispose des autorisations Administrateur intégral Exchange au niveau de l'organisation doit effectuer la première installation d'Exchange Server 2003 sur un ordinateur qui se trouve dans un groupe d'administration.
Seul un administrateur qui dispose des autorisations Administrateur intégral Exchange au niveau de l'organisation peut mettre à niveau des ordinateurs qui exécutent Exchange 2000 Server et sont configurés en tant que serveurs têtes de pont pour les connecteurs de réplication d'annuaire vers Exchange Server 2003.
Seul un administrateur qui dispose des autorisations Administrateur intégral Exchange au niveau de l'organisation peut installer ou supprimer Exchange Server 2003 sur des serveurs où les services de réplication de sites sont installés.

Si vous êtes un administrateur Administrateur intégral Exchange dans le groupe d'administration et que vous exécutez le programme d'installation Exchange Server 2003 sur un serveur qui n'est pas en clusters, seuls les groupes d'administration auxquels vous êtes autorisé à accéder s'affichent. Cependant, sur un serveur en clusters, le programme d'installation Exchange Server 2003 affiche tous les groupes d'administration. Si vous sélectionnez un groupe d'administration auquel vous n'êtes pas autorisé à accéder, vous recevez un message « Accès refusé ».

Si vous installez les serveurs suivants dans un site mixte Exchange 2000 Server ou Exchange Server 2003 et Exchange Server 5.5, une approbation bidirectionnelle est nécessaire entre le domaine où vous installez Exchange 2000 Server ou Exchange Server 2003 et le domaine où se trouve le serveur exécutant Exchange Server 5.5.

Quelles sont les autorisations nécessaires pour installer Exchange Server 2003 dans une configuration en clusters ?

Pour qu'un administrateur de cluster Exchange 2000 Server puisse créer, supprimer ou modifier un serveur virtuel Exchange, le compte de l'administrateur de cluster et le compte de service de cluster nécessitent les autorisations suivantes :

Si le serveur virtuel Exchange est le premier serveur virtuel Exchange de l'organisation Exchange, le compte de l'administrateur de cluster et le compte de service de cluster doivent chacun être membre d'un groupe dont le rôle Administrateur intégral Exchange est appliqué au niveau de l'organisation.
Si le serveur virtuel Exchange n'est pas le premier serveur virtuel Exchange de l'organisation, le compte de l'administrateur de cluster et le compte de service de cluster doivent chacun être membre d'un groupe dont le rôle Administrateur intégral Exchange est appliqué au niveau du groupe d'administration.

Dans Exchange Server 2003, le modèle d'autorisations a changé. Le compte de service de cluster Windows ne nécessite plus d'autorisations spécifiques à Exchange. En particulier, le compte de service de cluster Windows ne nécessite plus l'application du rôle d'administrateur intégral Exchange, que ce soit au niveau du groupe d'administration ou au niveau de l'organisation Exchange. Ses autorisations par défaut dans la forêt sont suffisantes pour qu'il fonctionne dans Exchange Server 2003.

Comme avec Exchange 2000 Server, l'administrateur de cluster nécessite les autorisations suivantes :

Si le serveur virtuel Exchange est le premier serveur virtuel Exchange de l'organisation, l'Administrateur de cluster doit être membre d'un groupe dont le rôle Administrateur intégral Exchange est appliqué au niveau de l'organisation.
Si le serveur virtuel Exchange n'est pas le premier serveur virtuel Exchange de l'organisation, vous devez utiliser un compte membre d'un groupe dont le rôle Administrateur intégral Exchange est appliqué au niveau du groupe d'administration.

Toutefois, en fonction du mode d'exécution de votre organisation Exchange (mode natif ou mode mixte) et de la configuration de votre topologie, les Administrateurs de cluster doivent disposer des autorisations supplémentaires suivantes :

Lorsque votre organisation Exchange est en mode natif, si le serveur virtuel Exchange se trouve dans un groupe de routage qui englobe plusieurs groupes d'administration, l'administrateur de cluster doit être membre d'un groupe dont le rôle Administrateur intégral Exchange est appliqué au niveau de tous les groupes d'administration que le groupe de routage englobe. Par exemple, si le serveur virtuel Exchange se trouve dans un groupe de routage qui englobe les premier et second groupes d'administration, l'Administrateur de cluster doit utiliser un compte qui est membre d'un groupe dont le rôle Administrateur intégral Exchange est appliqué au premier groupe d'administration et également membre d'un groupe dont le rôle Administrateur intégral Exchange est appliqué au second groupe d'administration.

Remarque :
Les groupes de routage des organisations Exchange qui s'exécutent en mode natif peuvent englober plusieurs groupes d'administration. Les groupes de routage des organisations Exchange qui s'exécutent en mode mixte ne peuvent pas englober plusieurs groupes d'administration.

Dans des topologies de type domaines parent/enfant où le serveur de clusters est le premier serveur Exchange du domaine enfant, l'administrateur de cluster doit être membre d'un groupe dont le rôle Administrateur Exchange au minimum est appliqué au niveau de l'organisation pour être en mesure d'indiquer le serveur responsable du service de mise à jour de destinataire dans le domaine enfant.

Quelles sont les autorisations nécessaires pour installer des Service Packs pour Exchange Server 2003 ?

Les Service Packs pour Exchange doivent être installés après Exchange Server 2003. Il n'existe pas de programme d'installation intégré d'Exchange qui inclut des Service Packs. Pour appliquer les Service Packs, vous devez disposer des autorisations suivantes :

rôle Administrateur Exchange sur le groupe d'administration où réside le serveur Exchange Server 2003 ;
membre du groupe Administrateurs local sur le serveur Exchange Server 2003 cible.

Important :
En commençant par Exchange Server 2003 Service Pack 2 (SP2), vous avez besoin du rôle Administrateur Exchange dans l'organisation pour mettre à niveau le premier serveur vers le dernier Service Pack. Ainsi, le programme d'installation peut créer le conteneur du filtre de contenu publicitaire non sollicité dans le conteneur de l'organisation Exchange, au sein de la partition de configuration. Après la mise à niveau du premier serveur et la création de ce conteneur, vous aurez besoin du rôle Administrateur Exchange uniquement dans le groupe d'administration de destination pour la mise à niveau de serveurs supplémentaires.

En commençant par Exchange Server 2003 Service Pack 2 (SP2), vous avez besoin du rôle Administrateur Exchange dans l'organisation pour mettre à niveau le premier serveur vers le dernier Service Pack. Ainsi, le programme d'installation peut créer le conteneur du filtre de contenu publicitaire non sollicité dans le conteneur de l'organisation Exchange, au sein de la partition de configuration. Après la mise à niveau du premier serveur et la création de ce conteneur, vous aurez besoin du rôle Administrateur Exchange uniquement dans le groupe d'administration de destination pour la mise à niveau de serveurs supplémentaires.

Je dispose d'une application de messagerie tierce qui nécessite un accès complet à la boîte aux lettres de chaque utilisateur. Avec Exchange Server 5.5, nous accordons les autorisations « Admin. Compte de services » à un compte spécial, puis indiquons à l'application d'utiliser ce compte. Comment obtenir les mêmes fonctionnalités dans Exchange Server 2003 ?

La sécurité Exchange Server 2003 fonctionne différemment de celle d'Exchange Server 5.5. En fait, Exchange Server 2003 n'utilise pas un compte de services du site ; au lieu de cela, tous les services démarrent en tant que compte de l'ordinateur local.

Les méthodes recommandées pour parvenir aux résultats escomptés sont décrites dans les articles suivants de la Base de connaissances Microsoft :

Remarque :
Si vous exécutez Exchange 2000 Server et que le script EDSLock a servi à sécuriser l'accès aux boîtes aux lettres Exchange, les membres du groupe « Serveurs de domaine Exchange » ne seront pas autorisés à ouvrir des boîtes aux lettres sur des serveurs Exchange distants.

Pourquoi les administrateurs de domaine peuvent-il usurper des comptes d'utilisateurs à extension messagerie dans leur domaine ?

Active Directory contient un ensemble d'autorisations de base applicable aux objets de l'annuaire. En particulier, Active Directory comporte l'autorisation étendue Envoyer en tant que. Par défaut, les groupes Administrateurs, Administrateurs de domaine, Administrateurs d'entreprise et Opérateurs de comptes possèdent des autorisations « Envoyer en tant que » pour tous les utilisateurs. Les autorisations des groupes Administrateurs et Administrateurs d'entreprise sont héritées du niveau domaine. Les groupes Opérateurs de comptes et Administrateurs de domaine reçoivent des autorisations explicites basées sur la définition de l'objet utilisateur se trouvant dans le schéma Active Directory.

Vous pouvez envisager d'implémenter une entrée de contrôle d'accès Refuser « Envoyer en tant que » applicable aux administrateurs pour les objets utilisateurs situés dans le domaine. Si vous décidez de procéder de la sorte, tenez compte des considérations suivantes :

Une entrée de contrôle d'accès explicite Autoriser prévaudra sur toute entrée de contrôle d'accès héritée Refuser (autrement dit, les ACE explicites sont appliquées avant les ACE héritées).
Les membres du groupe Administrateurs de domaine ont la possibilité de supprimer l'ACE Refuser et/ou d'ajouter une ACE explicite Autoriser.
L'ajout d'une entrée de contrôle d'accès Refuser peut avoir d'autres conséquences dans votre environnement. Pour plus d'informations, voir la rubrique Où appliquer les autorisations.

Si l'implémentation d'une entrée de contrôle d'accès Refuser « Envoyer en tant que » applicable aux administrateurs pour les objets utilisateurs situés dans le domaine présente un risque pour votre environnement de messagerie, implémentez une ou plusieurs des solutions suivantes :

Limitez le nombre d'administrateurs de domaine dans le domaine en déléguant des tâches spécifiques. Pour plus d'informations, voir la section sur les méthodes conseillées pour déléguer l'administration d'Active Directory dans le document (https://go.microsoft.com/fwlink/?LinkId=31309).
Utilisez l'audit pour surveiller les événements de connexion aux comptes membres du groupe Administrateurs de domaine.

Pourquoi les membres du groupe Administrateurs d'entreprise et du groupe Administrateurs de domaine racine disposent-ils d'un contrôle total sur l'organisation Exchange ?

Dans Exchange 2000 Server et les versions ultérieures, les données relatives à l'organisation Exchange ne sont pas stockées dans un répertoire séparé. Exchange enregistre les données d'organisation dans Active Directory dans le contexte d'appellation de configuration. Les administrateurs de forêt (membres soit du groupe Administrateurs d'entreprise soit du groupe Administrateurs de domaine racine) contrôlent tous les aspects du répertoire et sont propriétaires des données stockées dans le répertoire. Les administrateurs de forêt doivent contrôler le répertoire, car une seule modification de la configuration peut affecter négativement l'ensemble de la forêt. Le contexte d'appellation de configuration et, par héritage, l'organisation Exchange qui y est stockée possèdent les autorisations suivantes :

Administrateurs d'entreprise – Contrôle total
Administrateurs de domaine racine – Lire, Écrire, Créer tous les objets enfants, Autorisations spéciales

Outre les autorisations héritées, le programme d'installation d'Exchange ajoute une entrée de contrôle d'accès Refuser pour « Envoyer en tant que » et « Recevoir comme » qui s'applique au groupe Administrateurs d'entreprise et au groupe Administrateurs de domaine racine ; cela empêche ces administrateurs d'accéder aux boîtes aux lettres de la forêt et de les usurper. Pour plus d'informations, voir la rubrique Autorisations accordées au cours de l'installation d'Exchange.

Vous ne pouvez pas supprimer l'héritage du nœud d'organisation Exchange dans le contexte d'appellation de configuration. Si les administrateurs de messagerie ne font pas confiance aux administrateurs de forêt, l'équipe de messagerie doit envisager d'isoler Exchange au sein de sa propre forêt. Pour plus d'informations sur les options de déploiement, voir le Guide de déploiement d'Exchange Server 2003 (https://go.microsoft.com/fwlink/?LinkId=47569).

Si vous ne pouvez pas placer l'organisation Exchange dans une forêt séparée, il est recommandé d'effectuer une ou plusieurs des tâches suivantes :

Limitez le nombre d'administrateurs d'entreprise et d'administrateurs de domaine dans le domaine racine en déléguant des tâches spécifiques. Pour plus d'informations, voir la section sur les méthodes conseillées pour déléguer l'administration d'Active Directory dans le document (https://go.microsoft.com/fwlink/?LinkId=31309).
Utilisez l'audit pour surveiller les événements de connexion aux comptes membres des groupes privilégiés, dont le groupe Administrateurs d'entreprise et le groupe Administrateurs de domaine racine.
Utilisez l'audit pour surveiller les changements qui se produisent dans la partie CN=<Exchange Org>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domaine_racine> du répertoire.

Pourquoi y a t-il un compte de services du site dans Exchange Server 5.5 alors que les services Exchange Server 2003 peuvent démarrer en tant que LocalSystem (compte d'ordinateur intégré) ?

Exchange Server 5.5 nécessite un compte d'ouverture de session spécial pour ses services en raison d'une limitation de Windows NT Server 4.0. Même si les comptes d'ordinateur local dans Windows NT 4.0 possèdent des jetons, ils n'ont pas d'informations d'authentification ; par conséquent, un compte d'ordinateur ne peut pas s'authentifier auprès d'un autre compte. L'authentification Kerberos s'utilise dans Windows 2000 ou Windows Server 2003 et les comptes d'ordinateur possèdent des jetons ainsi que des informations d'authentification.

L'utilisation du compte de l'ordinateur local offre davantage de sécurité qu'un compte défini par un administrateur pour les raisons suivantes :

le mot de passe de l'ordinateur local est un nombre hexadécimal aléatoire au lieu d'une chaîne au format lisible ;
le mot de passe de l'ordinateur local change automatiquement tous les sept jours ;
le compte du service Exchange Server 5.5 doit être exclu des stratégies de verrouillage car une tentative de connexion en force peut désactiver le compte et arrêter les services Exchange.

Le compte d'ordinateur de mon serveur Exchange Server 2003 a été supprimé accidentellement d'Active Directory. Même s'il est possible de le recréer, les services Exchange Server 2003 fonctionneront-ils correctement ?

Si vous rajoutez simplement le compte d'ordinateur, les services Exchange démarrent, même si vous risquez de rencontrer certains problèmes comme des erreurs DSAccess dans le journal des événements. Plusieurs autorisations sont affectées au compte d'ordinateur dans Active Directory lors de l'installation d'Exchange Server 2003. Par conséquent, réexécutez le programme d'installation Exchange Server 2003 et sélectionnez l'option Réinstaller ; les autorisations correctes seront accordées à votre nouveau compte d'ordinateur.

Ou vous pouvez octroyer au compte d'ordinateur les autorisations appropriées avec ADSI Edit comme spécifié dans l'article 297295 de la Base de connaissances Microsoft sur l'absence du compte de l'ordinateur Exchange Server.

Après avoir recréé le compte d'ordinateur, vous pouvez accorder les nouvelles autorisations nécessaires au compte. Pour attribuer les autorisations appropriées au compte d'ordinateur Exchange, voir la rubrique sur l'Utilisation de l'outil ADSI Edit pour ajouter des autorisations de contrôle total au compte de l'ordinateur.

Déploiement d'Exchange Server 2003

Ressources supplémentaires