Préparer les autorisations héritées d'Exchange 2003

  • Article

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2011-04-28

Lors d’une mise à niveau de Exchange Server 2003 vers Exchange Server 2010, vous devez commencer par accorder des autorisations Exchange spécifiques dans chaque domaine dans lequel vous avez exécuté l’outil DomainPrep d’Exchange 2003. Pour ce faire, exécutez la commande setup /PrepareLegacyExchangePermissions. L’octroi de ces autorisations est une étape de la préparation d’Active Directory et de vos domaines pour l’installation d’Exchange Server 2010. Pour obtenir des instructions détaillées, voir Préparer Active Directory et les domaines.

Cette rubrique décrit la raison pour laquelle vous devez exécuter la commande setup /PrepareLegacyExchangePermissions, à quel moment vous devez l’exécuter et les autorisations définies par la commande dans votre organisation Exchange Server 2010.

Pourquoi exécuter la commande setup /PrepareLegacyExchangePermissions ?

Vous devez exécuter la commande setup /PrepareLegacyExchangePermissions afin que les fonctions du service de mise à jour de destinataire Exchange 2003 fonctionnent correctement après la mise à jour du schéma Active Directory pour Exchange Server 2010. Cette section décrit le problème principal et sa résolution via l’exécution de la commande.

Problème

Dans Exchange Server 2003, le service de mise à jour de destinataire met à jour certains attributs de boîte aux lettres, tels que l’adresse proxy, sur les objets utilisateur à extension messagerie. Le service de mise à jour de destinataire a l’autorisation de modifier ces attributs car le compte d’ordinateur (nommé <nom_serveur>) pour le serveur sur lequel le service de mise à jour de destinataire est exécuté se trouve dans le groupe Serveurs d’entreprise Exchange (EES). Le groupe EES est créé lors de l’exécution de l’outil DomainPrep d’Exchange Server 2003. Au lieu d’accorder les autorisations de groupe EES à chaque attribut de boîte aux lettres que le service de mise à jour de destinataire doit modifier, les attributs de boîte aux lettres sont regroupés dans des jeux de propriétés. Lorsque vous exécutez l’outil DomainPrep d’Exchange Server 2003, Exchange fournit au groupe EES des autorisations pour modifier les jeux de propriétés via les entrées de contrôle d’accès (ACE) qu’Exchange définit dans le conteneur de domaine dans Active Directory.

Exchange Server 2010 joue un rôle de gestion appelé gestion des destinataires. Ce rôle contient des autorisations pour gérer les attributs de messagerie pour tous les utilisateurs. Les administrateurs Exchange qui sont membres du rôle Gestion des destinataires Exchange ne peuvent gérer que les propriétés de messagerie des utilisateurs.

Pour activer cette fonctionnalité, Exchange Server 2010 doit déplacer certains attributs de messagerie d’utilisateurs dans un jeu de propriétés nommé « Jeu de propriétés d’informations d’Exchange ». Pour ce faire, Exchange redéfinit les schémas d’attribut dans Active Directory lors de l’importation du nouveau schéma Exchange Server 2010. Toutefois, le groupe EES hérité ne dispose pas d’autorisations pour le jeu de propriétés d’informations d’Exchange. Aussi, lors de l’importation du nouveau schéma Exchange Server 2010, le service de mise à jour de destinataire n’a plus d’autorisation pour les attributs de messagerie des utilisateurs et ne fonctionne plus correctement. (Par exemple, il ne pourra pas définir d’adresses proxy pour les utilisateurs Exchange Server 2003 nouvellement créés.)

Solution

L’exécution de la commande setup /PrepareLegacyExchangePermissions permet au service de mise à jour de destinataire de fonctionner correctement. Avant l’importation du nouveau schéma Exchange Server 2010, Exchange Server 2010 doit attribuer de nouvelles autorisations dans chaque domaine dans lequel vous avez exécuté l’outil DomainPrep d’Exchange Server 2003. La commande setup /PrepareLegacyExchangePermissions octroie ces nouvelles autorisations. Avant d’exécuter setup /PrepareSchema, vous devez exécuter setup /PrepareLegacyExchangePermissions et autoriser la réplication des autorisations dans l’organisation Exchange.

Le serveur sur lequel vous exécutez setup /PrepareLegacyExchangePermissions contacte le catalogue global local pour localiser les domaines dans lesquels vous avez exécuté l’outil DomainPrep d’Exchange Server 2003 en recherchant les groupes EES (Serveurs d’entreprise Exchange) et EDS (Serveurs de domaine Exchange). Le serveur doit pouvoir communiquer avec chaque domaine de la forêt dans laquelle vous avez exécuté l’outil DomainPrep d’Exchange Server 2003. En outre, le compte utilisé pour exécuter setup /PrepareLegacyExchangePermissions doit disposer des autorisations attribuées au groupe de sécurité universel Administrateurs d’entreprise de manière à ce qu’il puisse définir les ACE dans chaque domaine et dans l’organisation Exchange.

Autorisations définies par la commande setup /PrepareLegacyExchangePermissions

L’exécution de la commande setup /PrepareLegacyExchangePermissions permet d’identifier les domaines de la forêt disposant du groupe EES et du groupe Serveurs de domaine Exchange (EDS). Pour chaque domaine disposant de ces groupes, la commande setup /PrepareLegacyExchangePermissions effectue les opérations suivantes :

  • ajout d’une ACE à la liste de contrôle d’accès (ACL) racine de domaine pour attribuer au groupe EES les autorisations WRITE_PROP sur le jeu de propriétés d’informations d’Exchange ;

  • ajout d’une ACE à l’ACL racine de domaine pour attribuer aux utilisateurs authentifiés les autorisations READ_PROP sur le jeu de propriétés d’informations d’Exchange ;

  • ajout d’une ACE au conteneur adminSDHolder du domaine pour attribuer au groupe EES les autorisations WRITE_PROP et READ_PROP sur le jeu de propriétés d’informations d’Exchange ;

  • ajout d’une ACE à la liste de contrôle d’accès du conteneur Organisation Exchange pour attribuer au groupe EDS les autorisations WRITE_PROP sur le jeu de propriétés d’informations d’Exchange.

Nouvelle exécution de la commande Setup /PrepareLegacyExchangePermissions

Dans certains cas, vous devrez exécuter setup /PrepareLegacyExchangePermissions à nouveau :

  • Vous disposez d’un domaine qui contient des serveurs Exchange Server 2003 et vous n’avez pas exécuté DomainPrep.

  • Dans un domaine existant, vous activez la boîte aux lettres pour des utilisateurs qui se connecteront à des boîtes aux lettres sur des serveurs Exchange Server 2003 dans des domaines dans lesquels vous n’avez pas exécuté DomainPrep.

Dans ces cas, vous devez exécuter setup /PrepareLegacyExchangePermissions à nouveau après avoir exécuté l’outil DomainPrep d’Exchange Server 2003. Cela permet au service de mise à jour de destinataire Exchange Server 2003 de fonctionner correctement dans ce domaine.

Référence d’autorisations pour le déploiement d’Exchange 2010

Exchange 2010 requiert des autorisations pour être déployé et fonctionner correctement dans votre organisation. Ces autorisations sont marquées sur les listes de contrôle d’accès des objets utilisés par Exchange 2010 au cours de son installation. Pour plus d’informations, consultez la rubrique Référence d'autorisations de déploiement d'Exchange 2010.

 © 2010 Microsoft Corporation. Tous droits réservés.