Présentation du comportement Envoyer en tant que dans Exchange 2007
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1
Dernière rubrique modifiée : 2009-01-05
Cette rubrique décrit le fonctionnement de l'autorisation Envoyer en tant que dans Microsoft Exchange Server 2007.
L'autorisation Envoyer en tant que permet à l'utilisateur (UtilisateurA) d'envoyer un message en tant que propriétaire de la boîte aux lettres (UtilisateurB). Dans ce scénario, même si l'UtilisateurA envoie le message, celui-ci semble provenir de la boîte aux lettres de l'UtilisateurB. Ce comportement diffère du comportement qui se produit lorsqu'un utilisateur (UtilisateurC) dispose de l'autorisation d'accès Délégué classique. Dans ce scénario, l'autorisation « Envoyer de la part de » pour un propriétaire de boîte aux lettres est octroyée à l'UtilisateurC. Lorsque l'UtilisateurC envoie un message au nom du propriétaire de la boîte aux lettres, les informations suivantes s'affichent dans le champ De du message :
<Nom_délégué> de la part de <Nom_propriétaire_boîte_aux_lettres> |
Dans les versions antérieures d'Exchange, le fait d'octroyer à un utilisateur l'autorisation d'accès illimité à la boîte aux lettres accordait également à cet utilisateur le droit d'envoyer des messages en tant que propriétaire de la boîte aux lettres. Ceci signifie qu'un utilisateur disposant de l'autorisation d'accès illimité à la boîte aux lettres pouvait envoyer des messages électroniques qui apparaissaient comme étant envoyés par le propriétaire de la boîte aux lettres.
Dans Exchange 2007, les utilisateurs disposant de l'autorisation d'accès illimité à la boîte aux lettres ne disposent pas de l'autorisation Envoyer en tant que. À la place, les utilisateurs disposent de l'autorisation « Envoyer de la part de » pour le propriétaire de la boîte aux lettres. Dans ce scénario, l'autorisation Envoyer en tant que doit être explicitement accordée aux utilisateurs afin que ceux-ci soient en mesure d'envoyer des messages électroniques en tant que propriétaire de la boîte aux lettres. La liste suivante décrit trois exceptions à cette règle :
Propriétaire de la boîte aux lettres
Le propriétaire de la boîte aux lettres n'a pas besoin de l'autorisation Envoyer en tant que pour sa propre boîte aux lettres.
Compte externe associé
Le compte externe associé à une boîte aux lettres ne requiert pas l'autorisation Envoyer en tant que pour l'envoi des messages en tant que propriétaire de la boîte aux lettres.
Compte délégué disposant de l'autorisation d'accès illimité à la boîte aux lettres
Si un compte délégué dispose également de l'autorisation d'accès illimité à la boîte aux lettres, l'utilisateur délégué peut envoyer des messages en tant que propriétaire de la boîte aux lettres sans disposer de l'autorisation Envoyer en tant que. Par défaut, les comptes délégués ne disposent pas de l'autorisation d'accès illimité à la boîte aux lettres.
Pour envoyer du courrier en tant que propriétaire de la boîte aux lettres, les autres utilisateurs disposant de l'accès partiel ou total à une boîte aux lettres doivent avoir reçu explicitement l'autorisation Envoyer en tant que pour le compte du propriétaire de la boîte aux lettres. Ceci inclut les comptes de service d'application qui exécutent les fonctions telles que l'envoi de messages électroniques pour les utilisateurs de périphériques mobiles.
Notes
Si le propriétaire de la boîte aux lettres, le compte externe associé ou le compte délégué dispose de l'autorisation d'accès illimité à la boîte aux lettres, il peut envoyer des messages en tant que propriétaire de la boîte aux lettres sans que l'autorisation Envoyer en tant que lui ait été octroyée explicitement. Par défaut, un compte de boîte aux lettres et le compte externe associé disposent de l'autorisation d'accès illimité à la boîte aux lettres, contrairement aux comptes délégués.
L'autorisation Envoyer en tant que doit être accordée au compte de service pour chaque objet utilisateur propriétaire d'une boîte aux lettres. Vous ne pouvez pas accorder l'autorisation Envoyer en tant que sur un serveur Exchange ou sur un objet base de données de manière à octroyer l'autorisation Envoyer en tant que à toutes les boîtes aux lettres hébergées sur le serveur ou dans la base de données.
Ce comportement se produit car l'autorisation Envoyer en tant que est une autorisation du service d'annuaire Active Directory qui s'applique uniquement aux objets Active Directory pour lesquels elle est définie. Le fait d'octroyer l'autorisation Envoyer en tant que à un objet base de données Exchange accorde l'autorisation Envoyer en tant que à la base de données même, et non aux utilisateurs disposant de boîtes aux lettres dans la base de données.
Notes
Le fait d'octroyer l'autorisation « Recevoir comme » à une base de données Exchange revient à octroyer l'autorisation d'accès illimité à toutes les boîtes aux lettres de la base de données. Ceci diffère de l'octroi de l'autorisation Envoyer en tant que, qui s'applique uniquement à l'objet base de données, et non aux boîtes aux lettres de la base de données. L'autorisation Recevoir comme est héritée par toutes les boîtes aux lettres de la base de données.
Pour mieux comprendre la différence entre les autorisations « Recevoir comme » et « Envoyer en tant que », vous pouvez comparer toutes les boîtes aux lettres de la base de données aux sous-dossiers d'un seul dossier de boîtes aux lettres, à savoir le dossier « base de donnée ». Si vous disposez de l'accès illimité à la base de données, vous recevez les autorisations héritées permettant d'accéder à l'ensemble du contenu de la base de données, y compris l'ensemble des boîtes aux lettres.
Cependant, l'autorisation Envoyer en tant que s'applique à l'identité d'un objet utilisateur Active Directory et non au contenu de la boîte aux lettres d'une base de données. Lorsque des messages électroniques sont envoyés, ils ne le sont pas à partir d'une boîte aux lettres ou base de données spécifique, mais à partir d'un utilisateur particulier. Ce dernier peut être le propriétaire de la boîte aux lettres ou il peut être associé à tout autre compte disposant de l'autorisation Envoyer en tant que.
Deux types d'autorisations d'accès à la boîte aux lettres et au dossier Exchange existent : les autorisations Active Directory et les autorisations de base de données Exchange. Les différents types d'autorisations sont stockés dans deux emplacements distincts.
L'autorisation Compte externe est une façon de définir l'attribut msExchMasterAccountSID d'Active Directory. L'attribut msExchMasterAccountSID n'est pas une autorisation. Il contrôle le fonctionnement des autres autorisations.
Notes
L'attribut msExchMailboxSecurityDescriptor d'Active Directory correspond à une copie de sauvegarde d'un sous-ensemble de droits de boîte aux lettres. Il est utilisé en interne par Exchange à des fins diverses. En outre, l'attribut msExchMailboxSecurityDescriptor est mis à jour de manière à correspondre aux droits actuellement en vigueur si les administrateurs utilisent des interfaces prises en charge pour octroyer des droits.
L'autorisation d'accès illimité à la boîte aux lettres est une autorisation de banque de bases de données Exchange. L'autorisation Envoyer en tant que est une autorisation Active Directory. Dans les versions antérieures d'Exchange, avant de modifier le fichier Exchange Store.exe, Exchange n'examine pas le paramètre de l'autorisation Envoyer en tant que si l'expéditeur dispose déjà de l'autorisation d'accès illimité à la boîte aux lettres.
Notes
Vous pouvez octroyer l'autorisation Envoyer en tant que sans accorder l'autorisation d'accès illimité à la boîte aux lettres.
L'association de l'autorisation Envoyer en tant que à l'autorisation d'accès illimité à la boîte aux lettres permettait aux administrateurs Exchange de disposer d'autorisations Envoyer en tant que efficaces pour toutes les boîtes aux lettres d'un serveur. Ceci était dû au fait que les administrateurs Exchange bénéficiaient d'un contrôle total sur une base de données Exchange. En séparant l'autorisation Envoyer en tant de l'autorisation d'accès illimité à la boîte aux lettres, les administrateurs Active Directory peuvent empêcher les administrateurs Exchange d'obtenir l'autorisation Envoyer en tant que pour les comptes. Ceci est dû au fait que l'autorisation Envoyer en tant que est une autorisation Active Directory, et non une autorisation de banque Exchange.
Pour plus d'informations
Pour plus d'informations sur l'octroi de l'autorisation Envoyer en tant que pour une boîte aux lettres dans Exchange 2007, consultez la rubrique Procédure d'octroi d'autorisations Envoyer en tant que pour une boîte aux lettres.
Pour plus d'informations sur l'autorisation de l'accès à une boîte aux lettres dans Exchange 2007, consultez la rubrique Procédure d'autorisation d'accès à une boîte aux lettres.
Pour plus d'informations sur les autorisations de boîte aux lettres, consultez la rubrique Présentation des autorisations de boîte aux lettres.