Autorisations accordées au cours de l'installation d'Exchange
Dernière rubrique modifiée : 2005-04-20
Chaque tableau d'autorisations commence par le nom unique de l'objet auquel il s'applique. Le tableau répertorie ensuite le contexte dans lequel le droit s'applique : par exemple, au cours de la phase ForestPrep lors de l'installation d'un serveur.
Dans certains cas, la liste de contrôle d'accès ne s'applique pas sur la propriété habituelle (ntSecurityDescriptor), mais sur une autre propriété—par exemple, « msExchMailboxSecurityDescriptor ». Le service d'annuaire ne peut pas appliquer la sécurité qui n'est pas définie dans le descripteur de sécurité Microsoft® Windows® NT ; dans la plupart des cas, ces listes de contrôle d'accès sont répliquées afin de stocker les listes de contrôle d'accès sur des objets appropriés par le service de banque d'informations. Cependant, il n'existe aucun outil permettant d'afficher ces listes de contrôle d'accès autrement que sous la forme de données binaires brutes.
Les colonnes d'un tableau d'autorisations se présentent comme suit :
- Compte Entité de sécurité à laquelle sont accordées ou refusées les autorisations
- A Activé s'il s'agit d'une entrée de contrôle d'accès (ACE) autorisé.
- D Activé s'il s'agit d'une entrée de contrôle d'accès refusé Autorisé et Refusé s'excluent mutuellement
- I Activé si cette entrée de contrôle d'accès (ACE) hérite des objets enfants
- Droit Activé si cette entrée de contrôle d'accès (ACE) hérite des objets enfants
- Sur propriété/S'applique à Dans certains cas, l'autorisation s'applique uniquement à une propriété, un jeu de propriétés ou une classe d'objet donnés. Si tel est le cas, l'information est précisée dans cette colonne.
- Commentaires Raison pour laquelle cette autorisation est nécessaire ou d'autres informations relatives à l'autorisation.
Les autorisations supprimées par le programme d'installation de Microsoft Exchange Server 2003 sont indiquées par une police barré double (par exemple, barré double). Ce sont des autorisations définies dans Exchange 2000 Server, mais elles sont désormais obsolètes dans le modèle de sécurité.
Les autorisations sont généralement répertoriées dans le tableau selon les noms utilisés sur la page des propriétés de sécurité d'ADSIEdit, affichage Avancé, sous l'onglet Afficher/Modifier. La page des propriétés de sécurité d'ADSIEdit offre une vue beaucoup plus condensée des droits. L'outil LDP (Ldp.exe) affiche le masque d'accès directement sous la forme d'une valeur numérique. Le code d'installation se réfère aux droits par constantes prédéfinies.
Le tableau suivant récapitule les relations entres ces valeurs.
Relations entre les valeurs
Page résumé ADSIEdit | Page Paramètres avancés ADSIEdit, onglet Afficher/Modifier | #define | Valeur binaire (« Masque » dans LDP) |
---|---|---|---|
Contrôle intégral |
Contrôle intégral |
WRITE_OWNER | WRITE_DAC | READ_CONTROL | DELETE | ACTRL_DS_CONTROL_ACCESS | ACTRL_DS_LIST_OBJECT | ACTRL_DS_DELETE_TREE | ACTRL_DS_WRITE_PROP | ACTRL_DS_READ_PROP | ACTRL_DS_SELF | ACTRL_DS_LIST | ACTRL_DS_DELETE_CHILD | ACTRL_DS_CREATE_CHILD |
0x000F01FF |
Lecture |
Contenu de liste + Lire toutes les propriétés + Lecture des autorisations |
ACTRL_DS_LIST | ACTRL_DS_READ_PROP | READ_CONTROL |
0x00020014 |
Écrire |
Écrire toutes les propriétés + Toutes les écritures validées |
ACTRL_DS_WRITE_PROP | ACTRL_DS_SELF |
0x00000028 |
Lister le contenu |
ACTRL_DS_LIST |
0x00000004 |
|
Lire toutes les propriétés |
ACTRL_DS_READ_PROP |
0x00000010 |
|
Écrire toutes les propriétés |
ACTRL_DS_WRITE_PROP |
0x00000020 |
|
Supprimer |
DELETE |
0x00010000 |
|
Supprimer sous-arborescence |
ACTRL_DS_DELETE_TREE |
0x00000040 |
|
Autorisations de lecture |
READ_CONTROL |
0x00020000 |
|
Modifier autorisations |
WRITE_DAC |
0x00040000 |
|
Modifier propriétaire |
WRITE_OWNER |
0x00080000 |
|
Toutes les écritures validées |
ACTRL_DS_SELF |
0x00000008 |
|
Tous les droits étendus |
ACTRL_DS_CONTROL_ACCESS |
0x00000100 |
|
Créer tous les objets enfants |
Créer tous les objets enfants |
ACTRL_DS_CREATE_CHILD |
0x00000001 |
Supprimer tous les objets enfants |
Supprimer tous les objets enfants |
ACTRL_DS_DELETE_CHILD |
0x00000002 |
ACTRL_DS_LIST_OBJECT |
0x00000080 |
Les droits étendus sont des droits personnalisés définis par des applications individuelles. Ils sont définis dans la liste de contrôle d'accès, mais ils n'ont aucune signification pour le service d'annuaire ; l'application particulière fait appliquer les droits étendus. Les exemples de droits Exchange étendus sont « Créer un dossier public » ou « Créer des propriétés nommées dans la banque d'informations ».