Exporter (0) Imprimer
Développer tout

Autorisations pour la configuration d'Exchange Server 2007

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

Dernière rubrique modifiée : 2009-12-08

Cette rubrique décrit les autorisations requises pour pouvoir configurer une organisation Microsoft Exchange Server 2007.

Dans certains cas, la liste de contrôle d'accès (ACL) n'est pas appliquée à la propriété habituelle, ntSecurityDescriptor, mais à une autre telle que msExchMailboxSecurityDescriptor. Le service d'annuaire ne peut pas appliquer une sécurité non spécifiée dans le descripteur de sécurité de Microsoft Windows. Dans la plupart des cas, ces listes de contrôle d'accès sont répliquées pour stocker les listes de contrôle d'accès sur des objets appropriés par le service de banque. Cependant, il n'existe aucun outil permettant d'afficher ces listes de contrôle d'accès autrement que sous la forme de données binaires brutes.

Les colonnes d'un tableau d'autorisations incluent les informations suivantes :

  • Compte   Entité de sécurité à laquelle sont accordées ou refusées les autorisations
  • Type d'ACE   Type d'entrée de contrôle d'accès (ACE)
    • ACE Autoriser
    • ACE Refuser
  • Héritage   Type d'héritage utilisé pour les objets enfants.
    • Tous Indique que les autorisations s'appliquent à l'objet et tous les sous-objets.
    • Desc Indique que les autorisations s'appliquent à la classe d'objets indiquée dans la ligne Sur propriété/S'applique à.
    • Aucun Indique que ces autorisations ne s'appliquent qu'à l'objet.
  • Autorisations   Autorisations octroyées au compte.
  • Sur propriété/S'applique à   Dans certains cas, les autorisations s'appliquent uniquement à une propriété, un jeu de propriétés ou une classe d'objets donnés. Ces autorisations limitées sont spécifiées ici.
    • Les noms en italique indiquent le ou les attributs auxquels une propriété de lecture ou d'écriture s'applique.
    • Les noms en texte brut indiquent la ou les classes d'objets dont une entrée de contrôle d'accès hérite.
    • Les noms en gras indiquant le nom de classe auquel des autorisations Créer des enfants ou Supprimer des enfants s'appliquent.
  • Commentaires   Le cas échéant, cette colonne explique pourquoi des autorisations sont requises ou fournit d'autres informations sur les autorisations.

Les autorisations sont généralement répertoriées dans le tableau selon les noms utilisés dans la page de propriétés Sécurité d'ADSI (Active Directory Service Interfaces) Edit (AdsiEdit.msc), vue Avancé sous l'onglet Afficher/Modifier. La page des propriétés Sécurité d'ADSI Edit offre une vue beaucoup plus condensée des autorisations. L'outil LDP (Ldp.exe) affiche le masque d'accès directement sous la forme d'une valeur numérique. Le code d'installation se réfère aux autorisations par constantes prédéfinies.

Le tableau suivant présente les relations entres ces valeurs.

 

Page Résumé d'ADSI Edit Vue Avancé d'ADSI Edit, onglet Afficher/Modifier Entrées de liste de contrôle d'accès appliquées à un objet donné Valeur binaire (masque d'accès dans LDP)

Contrôle total

Contrôle total

WRITE_OWNER | WRITE_DAC | READ_CONTROL | DELETE | ACTRL_DS_CONTROL_ACCESS | ACTRL_DS_LIST_OBJECT | ACTRL_DS_DELETE_TREE | ACTRL_DS_WRITE_PROP | ACTRL_DS_READ_PROP | ACTRL_DS_SELF | ACTRL_DS_LIST | ACTRL_DS_DELETE_CHILD | ACTRL_DS_CREATE_CHILD

0x000F01FF

lu

Contenu de liste + Objet de liste + Lire toutes les propriétés + Autorisations de lecture

ACTRL_DS_LIST | ACTRL_DS_READ_PROP | READ_CONTROL

0x00020014

Write

Écrire toutes les propriétés + Toutes les écritures validées

ACTRL_DS_WRITE_PROP | ACTRL_DS_SELF

0x00000028

 

Contenu de la liste

ACTRL_DS_LIST

0x00000004

 

Lire toutes les propriétés

ACTRL_DS_READ_PROP

0x00000010

 

Écrire toutes les propriétés

ACTRL_DS_WRITE_PROP

0x00000020

 

Delete

DELETE

0x00010000

 

Supprimer sous-arborescence

ACTRL_DS_DELETE_TREE

0x00000040

 

Autorisations de lecture

READ_CONTROL

0x00020000

 

Modifier autorisations

WRITE_DAC

0x00040000

 

Modifier propriétaire

WRITE_OWNER

0x00080000

 

Toutes les écritures validées

ACTRL_DS_SELF

0x00000008

 

Tous les droits étendus

ACTRL_DS_CONTROL_ACCESS

0x00000100

Créer tous les objets enfants

Créer tous les objets enfants

ACTRL_DS_CREATE_CHILD

0x00000001

Supprimer tous les objets enfants

Supprimer tous les objets enfants

ACTRL_DS_DELETE_CHILD

0x00000002

 

 

ACTRL_DS_LIST_OBJECT

0x00000080

Les droits étendus sont des droits personnalisés définis par des applications individuelles. Ils sont spécifiés dans la liste de contrôle d'accès. Toutefois, ils n'ont pas de signification pour le service d'annuaire Active Directory. L'application particulière applique tous les droits étendus. Des exemples de droits Exchange étendus sont « Créer un dossier public » ou « Créer des propriétés nommées dans la banque d'informations ».

noteRemarque :
Pour plus d'informations sur les autorisations définies durant une installation de Microsoft Exchange Server 2003, consultez le site Web sur l'utilisation des autorisations Active Directory dans Exchange Server 2003.

Les tableaux d'autorisations dans cette section présentent les autorisations qui sont définies lors de l'exécution de la commande setup /PrepareLegacyExchangePermissions.

Nom unique de l'objet : DC=<domaine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Serveurs d'entreprise Exchange

ACE Autoriser

All

Propriété d'écriture

informations Exchange

 

Utilisateurs authentifiés

ACE Autoriser

All

Propriété de lecture

informations Exchange

 

Nom unique de l'objet : CN=AdminSDHolder,CN=Système,DC=<domaine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Serveurs d'entreprise Exchange

ACE Autoriser

All

Propriété de lecture

Propriété d'écriture

informations Exchange

 

Nom unique de l'objet : CN=<organisation>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domaine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Serveurs de domaine Exchange

ACE Autoriser

All

Propriété d'écriture

informations Exchange

 

Les tableaux d'autorisations dans cette section présentent les autorisations qui sont définies lors de l'exécution de la commande Setup /PrepareAD.

Le tableau suivant présente les autorisations définies sur le conteneur Microsoft Exchange à l'intérieur de la partition de configuration.

Nom unique de l'objet : CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domaine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Compte d'installation

ACE Autoriser

All

Contrôle total

 

Il s'agit du compte utilisé pour exécuter /PrepareAD

Serveurs Exchange

ACE Autoriser

All

lu

 

 

Utilisateurs authentifiés

ACE Autoriser

Aucune

Propriété de lecture

Contenu de la liste

 

 

Administrateurs d'organisation Exchange ;

ACE Autoriser

All

Contrôle total

 

 

Les tableaux d'autorisations dans cette section présentent les autorisations qui sont définies pour l'organisation Microsoft Exchange et les sous-conteneurs à l'intérieur de la partition de configuration.

Nom unique de l'objet : CN=<organisation>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domaine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Administrateur d'entreprise

Administrateur de domaine racine

Compte d'installation

ACE Refuser

All

Envoyer en tant que

Recevoir comme

 

Les administrateurs Windows ne sont pas autorisés à ouvrir des boîtes aux lettres.

Administrateur d'entreprise

Administrateur de domaine racine

Compte d'installation

ACE Refuser

All

Stockage d'accès de transport

Stockage de délégation contrainte

Stockage d'accès en lecture

Stockage d'accès en lecture écriture

Emprunt d'identité de services Web Exchange

Sérialisation de jeton de services Web Exchange

 

Droit étendu

Serveurs Exchange

ACE Refuser

All

Stockage d'accès de transport

Stockage de délégation contrainte

Stockage d'accès en lecture seule

Stockage d'accès en lecture et écriture

 

Droit étendu

Utilisateurs authentifiés

ACE Refuser

Desc

Propriété de lecture

msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace

 

Utilisateurs authentifiés

ACE Autoriser

Aucune

Propriété de lecture

Objet de liste

 

 

Tout le monde et Anonymes

ACE Autoriser

All

Créer des dossiers publics

 

Droit étendu

Tout le monde et Anonymes

ACE Autoriser

All

Créer des propriétés nommées dans la banque d'informations

 

Droit étendu

Tout le monde et Anonymes

ACE Autoriser

All

lu

msExchPrivateMDB

 

Tout le monde et Anonymes

ACE Autoriser

All

lu

msExchPublicMDB

 

Serveurs Exchange

ACE Autoriser

All

Tous les droits étendus

 

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

groupT

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

msExchMailboxSecurityDescriptor

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

msExchUMServerWritableFlags

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

msExchDatabaseCreated

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

Informations publiques

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

msExchUserCulture

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

siteFolderGUID

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

msExchMobileMailboxFlags

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

siteFolderServer

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

msExchEDBOffline

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

userCertificate

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

informations personnelles Exchange

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

informations Exchange

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

msExchPatchMDB

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

publicDelegates

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

msExchUMSpokenName

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

msExchUMPinChecksum

 

Serveurs Exchange

ACE Autoriser

Desc

lu

siteAddressing

 

Administrateur de schéma

ACE Refuser

All

Emprunt d'identité de services Web Exchange

Sérialisation de jeton de services Web Exchange

 

Droit étendu

Administrateurs d'organisation Exchange ;

ACE Refuser

All

Envoyer en tant que

Recevoir comme

 

Les administrateurs Exchange ne sont pas autorisés à ouvrir des boîtes aux lettres.

Administrateurs d'organisation Exchange ;

ACE Refuser

All

Emprunt d'identité de services Web Exchange

Sérialisation de jeton de services Web Exchange

 

Droit étendu

Administrateurs Affichage seul d'Exchange.

ACE Autoriser

All

Afficher l'état de banque d'informations

 

Droit étendu

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

lu

 

 

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Créer un dossier public de niveau hiérarchique supérieur

 

Droit étendu

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Afficher l'état de banque d'informations

 

Droit étendu

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Administrer la banque d'informations

 

Droit étendu

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Créer des propriétés nommées dans la banque d'informations

 

Droit étendu

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Modifier la liste ACL de dossier publique

 

Droit étendu

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Modifier des quotas de dossiers publics

 

Droit étendu

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Modifier ACL d'admin de dossiers publics

 

Droit étendu

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Modifier l'expiration de dossiers publics

 

Droit étendu

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Modifier la liste de réplicas de dossiers publics

 

Droit étendu

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Modifier la rétention d'élément de dossier public supprimé

 

Droit étendu

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Créer dossier public

 

Droit étendu

Nom unique de l'objet : CN=Conteneur de liste d'adresses,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Utilisateurs authentifiés

ACE Autoriser

All

Contenu de la liste

 

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Propriété d'écriture

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

 

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Propriété d'écriture

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Nom unique de l'objet : CN=Listes d'adresses en mode hors connexion,CN=Conteneur de liste d'adresses, CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Utilisateurs authentifiés

ACE Autoriser

All

Téléchargement du carnet d'adresses en mode hors connexion

 

 

Nom unique de l'objet : CN=Services de mise à jour de destinataire,CN=Conteneur de liste d'adresses, CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Serveurs Exchange

ACE Autoriser

All

Contrôle total

 

 

Nom unique de l'objet : CN=Addressage,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Utilisateurs authentifiés

ACE Autoriser

All

lu

 

 

Nom unique de l'objet : CN=Stratégie de destinataire,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Propriété d'écriture

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

 

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Propriété d'écriture

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Nom unique de l'objet : CN=Classifications de message,CN=Paramètres de transport, CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Utilisateurs authentifiés

ACE Autoriser

All

Contenu de la liste

 

 

Nom unique de l'objet : CN=ExACPrivileged,CN=<langue>,CN=Classifications de messages,CN=Paramètres de transport, CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Utilisateurs authentifiés

ACE Autoriser

All

lu

 

 

Nom unique de l'objet : CN=ExCompanyConfidential,CN=<langue>,CN=Classifications de messages,CN=Paramètres de transport, CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Utilisateurs authentifiés

ACE Autoriser

All

lu

 

 

Nom unique de l'objet : CN=ExCompanyInternal,CN=<langue>,CN=Classifications de messages,CN=Paramètres de transport, CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Utilisateurs authentifiés

ACE Autoriser

All

lu

 

 

Les tableaux d'autorisations dans cette section présentent les autorisations qui sont définies par la commande Setup /PrepareAD pour divers conteneurs à l'intérieur de la partition de configuration.

Nom unique de l'objet : CN=Sites,CN=Configuration,DC=<domaine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Administrateurs d'organisation Exchange ;

ACE Autoriser

All

Propriété d'écriture

msExchTransportSiteFlags / site

 

Administrateurs d'organisation Exchange ;

ACE Autoriser

All

Propriété d'écriture

msExchCost / siteLink

 

Nom unique de l'objet : CN=Objets supprimés,CN=Configuration,DC=<domaine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Serveurs Exchange

ACE Autoriser

All

Contenu de la liste

 

 

Administrateurs d'organisation Exchange ;

ACE Autoriser

All

lu

Autorisation d'accès en écriture

 

 

La commande Setup /PrepareAD configure également les autorisations suivantes pour les groupes d'administration au sein de l'organisation.

Nom unique de l'objet : CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Administrateurs des destinataires Exchange ;

ACE Autoriser

Desc

Service de mise à jour de destinataire d'accès

msExchExchangeServer

Autorise des Administrateurs des destinataires Exchange à marquer des destinataires à l'aide d'informations d'adresse proxy.

SYSTEM

ACE Autoriser

Desc

Service de mise à jour de destinataire d'accès

msExchExchangeServer

Autorise les serveurs à marquer des destinataires à l'aide d'informations d'adresse proxy.

Administrateurs de dossiers publics Exchange

ACE Autoriser

Desc

Service de mise à jour de destinataire d'accès

msExchExchangeServer

Autorise des Administrateurs de dossiers publics Exchange à marquer des destinataires à l'aide d'informations d'adresse proxy.

Nom unique de l'objet : CN=Serveurs,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Serveurs Exchange

ACE Refuser

All

Recevoir comme

 

Les serveurs Exchange ne sont pas autorisés à ouvrir des boîtes aux lettres.

Utilisateurs authentifiés

ACE Autoriser

Aucune

Contenu de la liste

 

 

Nom unique de l'objet : CN=Paramètres de sécurité avancés,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Utilisateurs authentifiés

ACE Autoriser

Aucune

Contenu de la liste

 

 

Nom unique de l'objet : CN=Chiffrement,CN=Paramètres de sécurité avancés,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Utilisateurs authentifiés

ACE Autoriser

Aucune

Propriété de lecture

 

 

Les tableaux d'autorisations dans cette section présentent les autorisations qui sont définies pour le conteneur de groupes de sécurité Microsoft Exchange à l'intérieur de la partition de domaine racine.

Nom unique de l'objet : OU=Groupes de sécurité Microsoft Exchange,DC=<domaine racine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Exchange Trusted Subsystem

ACE Autoriser

All

Contrôle total

Le programme d'installation d'Exchange 2007 SP2 crée ce groupe et l'ajoute au groupe Administrateurs local. Exchange Trusted Subsystem est un groupe universel de sécurité disposant de l'accès en lecture et écriture à tous les objets associés à Exchange dans l'organisation. Pour plus d'informations, consultez la rubrique Installation du dernier Service Pack ou correctif cumulatif pour Exchange 2007.

Administrateurs d'organisation Exchange ;

ACE Autoriser

All

Contrôle total

 

 

Nom unique de l'objet : CN=Administrateurs d'organisation Exchange,OU=Groupes de sécurité Microsoft Exchange,DC=<domaine racine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Administrateurs d'organisation Exchange ;

ACE Autoriser

All

Contrôle total

 

 

Nom unique de l'objet : CN=Administrateurs des destinataires Exchange,OU=Groupes de sécurité Microsoft Exchange,DC=<domaine racine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Administrateurs d'organisation Exchange ;

ACE Autoriser

All

Contrôle total

 

 

Nom unique de l'objet : CN=Administrateurs Affichage seul d'Exchange,OU=Groupes de sécurité Microsoft Exchange,DC=<domaine racine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Administrateurs d'organisation Exchange ;

ACE Autoriser

All

Contrôle total

 

 

Nom unique de l'objet : CN=ExchangeLegacyInterop,OU=Groupes de sécurité Microsoft Exchange,DC=<domaine racine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Administrateurs d'organisation Exchange ;

ACE Autoriser

All

Contrôle total

 

 

Nom unique de l'objet : CN=Serveurs Exchange,OU=Groupes de sécurité Microsoft Exchange,DC=<domaine racine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Administrateurs d'organisation Exchange ;

ACE Autoriser

All

Contrôle total

 

 

Administrateurs de domaine racine

ACE Autoriser

All

Membres autorisés à lire

Membres autorisés à écrire

 

 

Administrateurs de domaine enfant

ACE Autoriser

All

Membres autorisés à lire

Membres autorisés à écrire

 

 

Les tableaux suivants présentent les autorisations qui sont définies lors de l'exécution de la commande Setup /PrepareDomain.

Nom unique de l'objet : DC=<domaine> et CN=AdminSDHolder,CN=Système,CN=<domaine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Utilisateurs authentifiés

ACE Autoriser

All

Propriété de lecture

informations Exchange

 

Serveurs Exchange

ACE Autoriser

All

Propriété de lecture

informations personnelles Exchange

 

Serveurs Exchange

ACE Autoriser

All

Propriété de lecture

informations Exchange

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

groupType

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

publicDelegates

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

userCertificate

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

msExchUMPinChecksum

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

msExchMobileMailboxFlags

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

msExchMailboxSecurityDescriptor

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

msExchUserCulture

 

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

msExchUMServerWriteableFlags

 

Serveurs Exchange

ACE Autoriser

All

Propriété de lecture

garbageCollPeriod

 

Serveurs Exchange

ACE Autoriser

All

Propriété de lecture

userAccountControl

 

Serveurs Exchange

ACE Autoriser

All

Propriété de lecture

canonicalName

 

Serveurs Exchange

ACE Autoriser

All

Propriété de lecture

memberOf

 

Serveurs Exchange

ACE Autoriser

Desc

Modifier autorisations

groupe

L'autorisation a été supprimée dans Microsoft Exchange Server 2007 SP1 Setup /PrepareDomain. Si vous avez déjà installé Microsoft Exchange Server 2007, vous disposerez de cette autorisation, et ce même après le déploiement d'Exchange 2007 SP1.

Serveurs Exchange

ACE Autoriser

All

Changer le mot de passe

 

Droit étendu

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

lu

 

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Propriété d'écriture

informations Exchange

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Propriété d'écriture

informations personnelles Exchange

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Propriété d'écriture

legacyExchangeDN

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Propriété d'écriture

displayName

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Propriété d'écriture

adminDisplayName

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Propriété d'écriture

displayNamePrintable

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Propriété d'écriture

publicDelegates

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Propriété d'écriture

garbageCollPeriod

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Propriété d'écriture

textEncodedORAddress

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Propriété d'écriture

showInAddressBook

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Propriété d'écriture

proxyAddresses

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Propriété d'écriture

mail

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

All

Créer un enfant

Supprimer l'enfant

msExchDynamicDistributionList

 

Administrateurs des destinataires Exchange ;

ACE Autoriser

Desc

Contrôle total

msExchDynamicDistributionList

 

Nom unique de l'objet : CN=Objets système Microsoft Exchange,DC=<domaine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Serveurs Exchange

ACE Autoriser

All

lu

Supprimer l'arborescence

 

 

Serveurs Exchange

ACE Refuser

All

Supprimer l'arborescence

 

Exchange 2003 RUS supprime les ACE en lecture du conteneur d'objets système Microsoft Exchange (MESO)

Serveurs Exchange

ACE Autoriser

All

Créer un enfant

Supprimer l'enfant

PublicFolder

 

Serveurs Exchange

ACE Autoriser

Desc

Propriété d'écriture

PublicFolder

 

Serveurs Exchange

ACE Autoriser

All

Créer un enfant

msExchSystemMailbox

 

Serveurs Exchange

ACE Autoriser

Desc

Propriété d'écriture

msExchSystemMailbox

 

Administrateurs d'organisation Exchange ;

ACE Autoriser

All

Supprimer l'enfant

msExchSystemMailbox

 

Utilisateurs authentifiés

ACE Autoriser

All

Autorisations de lecture

 

 

Utilisateurs authentifiés

ACE Autoriser

All

lu

 

 

Utilisateurs authentifiés

ACE Autoriser

All

Propriété de lecture

garbageCollPeriod

adminDisplayName

modifyTimeStamp

 

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Propriété de lecture

Propriété d'écriture

Exchange-Information / publicFolder

Exchange-Personal-Information / publicFolder

legacyExchangeDN / publicFolder

displayName / publicFolder

displayNamePrintable / publicFolder

publicDelegates / publicFolder

garbageCollPeriod / publicFolder

textEncodedORAddress / publicFolder

showInAddressBook / publicFolder

proxyAddresses / publicFolder

mail / publicFolder

pFContacts / publicFolder

msDS-PhoneticDisplayName / publicFolder

cn / publicFolder

name / publicFolder

Autorise le rôle Administrateur de dossiers publics Exchange à gérer les propriétés relatives à la messagerie des objets proxy Dossiers publics à extension messagerie.

Administrateurs de dossiers publics Exchange

ACE Autoriser

All

Propriété de lecture

Durant l'installation des rrôles serveur de transport Hub, de messagerie unifiée, de boîtes aux lettres et d'accès au client, le programme d'installation ajoute le groupe de sécurité Administrateurs d'organisation Exchange au groupe de sécurité Administrateurs sur l'ordinateur local de façon à ce que des membres du groupe de rôles Administrateur nommé Administrateurs d'organisation Exchange puissent gérer le serveur.

Le tableau des autorisations suivant présente les autorisations qui sont définies lorsque vous installez les rrôles serveur de transport Hub, de messagerie unifiée, de boîtes aux lettres ou d'accès au client sur un ordinateur ne faisant pas partie d'un cluster.

Nom unique de l'objet : CN=<serveur>,CN=Serveurs,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

MACHINE$

ACE Autoriser

All

lu

 

  

MACHINE$

ACE Autoriser

Aucune

Propriété d'écriture

msExchServerSite

msExchEdgeSyncCredential

 

Serveurs Exchange

ACE Autoriser

All

Stockage d'accès de transport

Stockage de délégation contrainte

Stockage d'accès en lecture seule

Stockage d'accès en lecture et écriture

 

Droit étendu

Utilisateurs authentifiés

ACE Autoriser

Aucune

Propriétés de lecture

 

ACE est défini dans le schéma pour des objets de classe msExchExchangeServer defaultSecurityDescriptor

Si vous installez un serveur de boîtes aux lettres en cluster, les autorisations répertoriées dans les tableaux d'autorisations suivants sont définis à la place.

Nom unique de l'objet : CN=<serveur>,CN=Serveurs,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

CLUSTEREDNODE$

ACE Autoriser

All

lu

 

Les premiers nœuds installés ont cette autorisation.

CLUSTEREDNODE$

ACE Autoriser

All

Contrôle total

 

Tous les nœuds installés ultérieurement dans le cluster Exchange ont cette autorisation.

CLUSTEREDNODE$

ACE Autoriser

Aucune

Propriété d'écriture

msExchServerSite

msExchEdgeSyncCredential

 

Serveurs Exchange

ACE Autoriser

All

Stockage d'accès de transport

Stockage de délégation contrainte

Stockage d'accès en lecture seule

Stockage d'accès en lecture et écriture

 

Droit étendu

Utilisateurs authentifiés

ACE Autoriser

Aucune

Propriétés de lecture

 

ACE est défini dans le schéma pour des objets de classe msExchExchangeServer defaultSecurityDescriptor

Si vous installez un serveur de boîtes aux lettres en cluster, les autorisations répertoriées dans le tableau suivant sont définies sur l'ordinateur serveur de boîte aux lettres en cluster à l'intérieur de la partition de domaine.

Nom unique de l'objet : CN=<serveur>,CN=Ordinateurs,DC=<domaine> ou CN=<serveur>,OU=<unité d'organisation>,DC=<domaine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Compte de service de cluster

ACE Autoriser

Aucune

lu

Contrôle d'accès

 

 

Compte de service de cluster

ACE Autoriser

Aucune

Propriété d'écriture

Information de connexion

 

Compte de service de cluster

ACE Autoriser

Aucune

Propriété d'écriture

Description

 

Compte de service de cluster

ACE Autoriser

Aucune

Propriété d'écriture

sAMAccountName

 

Compte de service de cluster

ACE Autoriser

Aucune

Propriété d'écriture

Restrictions de compte

 

Compte de service de cluster

ACE Autoriser

Aucune

Écriture validée dans le nom d'hôte DNS

 

 

Compte de service de cluster

ACE Autoriser

Aucune

Écriture validée dans le nom principal de service

 

 

Si vous installez un serveur de transport Edge et établissez un abonnement Edge avec l'organisation Exchange, les autorisations répertoriées dans le tableau d'autorisations suivant sont définies lors de l'instanciation du serveur de transport Edge dans l'organisation.

Nom unique de l'objet : CN=<serveur>,CN=Serveurs,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Serveurs Exchange

ACE Autoriser

All

Propriété d'écriture

 

 

Utilisateurs authentifiés

ACE Autoriser

Aucune

Propriétés de lecture

 

ACE est défini dans le schéma pour des objets de classe msExchExchangeServer defaultSecurityDescriptor

Durant l'installation du premier serveur d'accès au client, le conteneur suivant est créé. Le tableau des autorisations suivant présente les autorisations appliquées.

Nom unique de l'objet : CN=Configuration de disponibilité,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Serveurs Exchange

ACE Autoriser

Desc

Propriété de lecture

msExchAvailabilityUserPassword / msExchAvailabilityAddressSpaceObjects

Droit étendu

Durant l'installation de chaque serveur de transport Hub, les autorisations suivantes sont définies.

Nom unique de l'objet : CN=Par défaut<Serveur>,CN=connecteurs de réception SMTP,CN=Protocoles,CN=<Serveur>,CN=Serveurs,CN=<groupe d'administration>,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

ExchangeLegacyInterop

ACE Refuser

All

Accepter les en-têtes de forêt

 

 

ExchangeLegacyInterop

ACE Refuser

All

Accepter les en-têtes d'organisation

 

 

Serveurs Exchange

ACE Autoriser

All

Accepter tous les destinataires

 

 

ExchangeLegacyInterop

ACE Autoriser

All

Accepter tous les destinataires

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Accepter tous les destinataires

 

Il s'agit de l'identificateur de sécurité bien connu (SID) pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Accepter tous les destinataires

 

Il s'agit du SID bien connu pour serveurs de transport Edge.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

ACE Autoriser

All

Accepter tous les destinataires

 

Il s'agit du SID bien connu pour serveurs sécurisés à l'extérieur.

Serveurs Exchange

ACE Autoriser

All

Accepter EXCH50

 

 

ExchangeLegacyInterop

ACE Autoriser

All

Accepter EXCH50

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Accepter EXCH50

 

Il s'agit du SID bien connu pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Accepter EXCH50

 

Il s'agit du SID bien connu pour serveurs de transport Edge.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

ACE Autoriser

All

Accepter EXCH50

 

Il s'agit du SID bien connu pour serveurs sécurisés à l'extérieur.

Serveurs Exchange

ACE Autoriser

All

Envoyer des messages à n’importe quel destinataire

 

 

ExchangeLegacyInterop

ACE Autoriser

All

Envoyer des messages à n’importe quel destinataire

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Envoyer des messages à n’importe quel destinataire

 

Il s'agit du SID bien connu pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Envoyer des messages à n’importe quel destinataire

 

Il s'agit du SID bien connu pour serveurs de transport Edge.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

ACE Autoriser

All

Envoyer des messages à n’importe quel destinataire

  

Il s'agit du SID bien connu pour serveurs sécurisés à l'extérieur.

Serveurs Exchange

ACE Autoriser

All

Accepter les en-têtes de routage

 

 

ExchangeLegacyInterop

ACE Autoriser

All

Accepter les en-têtes de routage

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Accepter les en-têtes de routage

 

Il s'agit du SID bien connu pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Accepter les en-têtes de routage

 

Il s'agit du SID bien connu pour serveurs de transport Edge.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

ACE Autoriser

All

Accepter les en-têtes de routage

 

Il s'agit du SID bien connu pour serveurs sécurisés à l'extérieur.

Serveurs Exchange

ACE Autoriser

All

Accepter les en-têtes de forêt

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Accepter les en-têtes de forêt

 

Il s'agit du SID bien connu pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Accepter les en-têtes de forêt

  

Il s'agit du SID bien connu pour serveurs de transport Edge.

Serveurs Exchange

ACE Autoriser

All

Accepter les identificateurs d’authentification

 

 

ExchangeLegacyInterop

ACE Autoriser

All

Accepter les identificateurs d’authentification

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Accepter les identificateurs d’authentification

 

Il s'agit du SID bien connu pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Accepter les identificateurs d’authentification

 

Il s'agit du SID bien connu pour serveurs de transport Edge.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

ACE Autoriser

All

Accepter les identificateurs d’authentification

 

Il s'agit du SID bien connu pour serveurs sécurisés à l'extérieur.

Serveurs Exchange

ACE Autoriser

All

Ignorer le blocage du courrier indésirable

 

 

ExchangeLegacyInterop

ACE Autoriser

All

Ignorer le blocage du courrier indésirable

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Ignorer le blocage du courrier indésirable

 

Il s'agit du SID bien connu pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Ignorer le blocage du courrier indésirable

 

Il s'agit du SID bien connu pour serveurs de transport Edge.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

ACE Autoriser

All

Ignorer le blocage du courrier indésirable

 

Il s'agit du SID bien connu pour serveurs sécurisés à l'extérieur.

Serveurs Exchange

ACE Autoriser

All

Ignorer la limite de taille du message

 

 

ExchangeLegacyInterop

ACE Autoriser

All

Ignorer la limite de taille du message

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Ignorer la limite de taille du message

 

Il s'agit du SID bien connu pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Ignorer la limite de taille du message

 

Il s'agit du SID bien connu pour serveurs de transport Edge.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

ACE Autoriser

All

Ignorer la limite de taille du message

 

Il s'agit du SID bien connu pour serveurs sécurisés à l'extérieur.

Serveurs Exchange

ACE Autoriser

All

Accepter les en-têtes d'organisation

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Accepter les en-têtes d'organisation

 

Il s'agit du SID bien connu pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Accepter les en-têtes d'organisation

Il s'agit du SID bien connu pour serveurs de transport Edge.

Serveurs Exchange

ACE Autoriser

All

Envoyer des messages au serveur

 

 

ExchangeLegacyInterop

ACE Autoriser

All

Envoyer des messages au serveur

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Envoyer des messages au serveur

 

Il s'agit du SID bien connu pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Envoyer des messages au serveur

 

Il s'agit du SID bien connu pour serveurs de transport Edge.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

ACE Autoriser

All

Envoyer des messages au serveur

 

Il s'agit du SID bien connu pour serveurs sécurisés à l'extérieur.

Serveurs Exchange

ACE Autoriser

All

Accepter un expéditeur de domaine faisant autorité

 

 

ExchangeLegacyInterop

ACE Autoriser

All

Accepter un expéditeur de domaine faisant autorité

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Accepter un expéditeur de domaine faisant autorité

 

Il s'agit du SID bien connu pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Accepter un expéditeur de domaine faisant autorité

 

Il s'agit du SID bien connu pour serveurs de transport Edge.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

ACE Autoriser

All

Accepter un expéditeur de domaine faisant autorité

 

Il s'agit du SID bien connu pour serveurs sécurisés à l'extérieur.

Utilisateurs authentifiés

ACE Autoriser

All

Envoyer des messages à n’importe quel destinataire

 

 

Utilisateurs authentifiés

ACE Autoriser

All

Accepter les en-têtes de routage

 

 

Utilisateurs authentifiés

ACE Autoriser

All

Ignorer le blocage du courrier indésirable

 

 

Utilisateurs authentifiés

ACE Autoriser

All

Envoyer des messages au serveur

 

 

Nom unique de l'objet : CN=Client<Serveur>,CN=connecteurs de réception SMTP,CN=Protocoles,CN=<Serveur>,CN=Serveurs,CN=<groupe d'administration>,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Utilisateurs authentifiés

ACE Autoriser

All

Envoyer des messages à n’importe quel destinataire

 

 

Utilisateurs authentifiés

ACE Autoriser

All

Accepter les en-têtes de routage

 

 

Utilisateurs authentifiés

ACE Autoriser

All

Ignorer le blocage du courrier indésirable

 

 

Utilisateurs authentifiés

ACE Autoriser

All

Envoyer des messages au serveur

 

 

Le tableau suivant présente les autorisations définies lorsque vous créez des connecteurs d'envoi.

Nom unique de l'objet : CN=<Nom de connecteur>,CN=Connexions,CN=<groupe de routage>,CN=Groupes de routage, CN=<groupe d'administration>,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à Commentaires

Serveurs Exchange

ACE Autoriser

All

Envoyer des en-têtes d’organisation

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Envoyer des en-têtes d’organisation

 

Il s'agit du SID bien connu pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Envoyer des en-têtes d’organisation

 

Il s'agit du SID bien connu pour serveurs de transport Edge.

Serveurs Exchange

ACE Autoriser

All

Envoyer les en-têtes de forêt

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Envoyer les en-têtes de forêt

 

Il s'agit du SID bien connu pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Envoyer les en-têtes de forêt

 

Il s'agit du SID bien connu pour serveurs de transport Edge.

Serveurs Exchange

ACE Autoriser

All

Envoyer les en-têtes de routage

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-10

ACE Autoriser

All

Envoyer les en-têtes de routage

 

Il s'agit du SID bien connu pour serveurs partenaires.

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Envoyer les en-têtes de routage

 

Il s'agit du SID bien connu pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Envoyer les en-têtes de routage

 

Il s'agit du SID bien connu pour serveurs de transport Edge.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

ACE Autoriser

All

Envoyer les en-têtes de routage

 

Il s'agit du SID bien connu pour serveurs sécurisés à l'extérieur.

S-1-9-1419165041-1139599005-3936102811-1022490595-24

ACE Autoriser

All

Envoyer les en-têtes de routage

 

Il s'agit du SID bien connu pour serveurs Exchange hérités.

OUVERTURE DE SESSION ANONYME

ACE Autoriser

All

Envoyer les en-têtes de routage

 

 

Serveurs Exchange

ACE Autoriser

All

Envoyer Exch50

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

ACE Autoriser

All

Envoyer Exch50

 

Il s'agit du SID bien connu pour serveurs de transport Hub.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

ACE Autoriser

All

Envoyer Exch50

 

Il s'agit du SID bien connu pour serveurs de transport Edge.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

ACE Autoriser

All

Envoyer Exch50

 

Il s'agit du SID bien connu pour serveurs sécurisés à l'extérieur.

S-1-9-1419165041-1139599005-3936102811-1022490595-24

ACE Autoriser

All

Envoyer Exch50

 

Il s'agit du SID bien connu pour serveurs Exchange hérités.

Pour être certain de lire les informations les plus récentes et de trouver de la documentation supplémentaire sur Exchange Server 2007, visitez le site Exchange Server TechCenter.
Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft