Présentation de la coexistence des autorisations avec Exchange 2003
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2016-11-28
Les autorisations dans Microsoft Exchange Server 2010 et Exchange Server 2003 sont entièrement séparées. Cette séparation s’explique par les différents modèles d’autorisations utilisés par Exchange 2010 et Exchange 2003. Vous devez accorder les autorisations d’administrateur Exchange 2003 existantes à vos serveurs Exchange 2010 et inversement. De plus, la gestion d’Exchange 2010 et d’Exchange 2003 est effectuée séparément au moyen des outils de gestion fournis avec chaque version. Vous pouvez octroyer des autorisations à vos administrateurs afin qu’ils puissent gérer votre organisation Exchange 2010 et Exchange 2003 mixte.
Pour plus d’informations sur la planification d’une coexistence entre Exchange 2010 et Exchange 2003, consultez la rubrique Exchange 2003 - Planification d’une feuille de route pour la mise à niveau et la coexistence.
Autorisations Exchange 2010
Exchange 2010 utilise le modèle d’autorisations RBAC (Contrôle d’accès basé sur un rôle). Ce modèle se caractérise par des groupes de rôles de gestion auxquels sont affectés un ou plusieurs rôles de gestion. Les rôles de gestion contiennent des autorisations qui permettent aux administrateurs de réaliser diverses tâches dans l’organisation Exchange. Les administrateurs sont ajoutés en tant que membres des groupes de rôles et se voient accorder toutes les autorisations inhérentes aux rôles. Le tableau ci-après fournit un exemple décrivant les groupes de rôles, certains rôles qui leur sont attribués et le type d’utilisateur susceptible d’être membre du groupe de rôles.
Exemples de groupes de rôles et de rôles dans Exchange 2010
| Groupe de rôles de gestion | Rôles de gestion | Membres de ce groupe de rôles |
|---|---|---|
Gestion de l’organisation |
Voici quelques-uns des rôles affectés à ce groupe de rôles :
|
Les utilisateurs chargés de gérer l’organisation Exchange 2010 entière doivent être membres de ce groupe. À quelques exceptions près, les membres de ce groupe de rôles peuvent gérer quasiment tous les aspects de l’organisation Exchange 2010. Par défaut, le compte d’utilisateur servant à la préparation d’Active Directory pour Exchange 2010 est membre de ce groupe de rôles. Pour obtenir plus d’informations sur ce groupe de rôles, ainsi qu’une liste complète des rôles qui y sont attribués, consultez la rubrique Gestion de l’organisation. |
Afficher uniquement la gestion de l’organisation |
Voici les rôles affectés à ce groupe de rôles :
|
Les utilisateurs ayant besoin d’afficher la configuration de l’organisation Exchange 2010 dans son intégralité doivent être membres de ce groupe. Ces utilisateurs doivent être en mesure de visualiser la configuration du serveur et les informations concernant les destinataires. Ils doivent aussi être capables de réaliser des fonctions d’analyse sans la possibilité de modifier la configuration de l’organisation ou des destinataires. Pour plus d’informations sur ce groupe de rôles, consultez la rubrique Gestion de l’organisation en affichage seul. |
Gestion des destinataires |
Voici les rôles affectés à ce groupe de rôles :
|
Les utilisateurs qui doivent gérer des destinataires dans l’organisation Exchange 2010, notamment des boîtes aux lettres, des contacts et des groupes de distribution, doivent être membres de ce groupe de rôles. Ces utilisateurs peuvent créer des destinataires, modifier ou supprimer des destinataires existants ou bien déplacer des boîtes aux lettres. Pour obtenir plus d’informations sur ce groupe de rôles, ainsi qu’une liste complète des rôles qui y sont attribués, consultez la rubrique Gestion des destinataires. |
Gestion du serveur |
Voici quelques-uns des rôles affectés à ce groupe de rôles :
|
Les utilisateurs qui doivent gérer la configuration du serveur Exchange, notamment des connecteurs de réception, des certificats, des bases de données et des répertoires virtuels, doivent être membres de ce groupe de rôles. Ils peuvent modifier la configuration du serveur Exchange, créer des bases de données et redémarrer et manipuler des files d’attente de transport. Pour obtenir plus d’informations sur ce groupe de rôles, ainsi qu’une liste complète des rôles qui y sont attribués, consultez la rubrique Gestion du serveur. |
Gestion de la découverte |
Voici les rôles affectés à ce groupe de rôles :
|
Les utilisateurs qui doivent effectuer des recherches de boîtes aux lettres pour des actes de procédure ou bien configurer des conservations légales, doivent être membres de ce groupe de rôles. Voici un exemple de groupe de rôles susceptible de contenir des administrateurs non Exchange (par exemple, du personnel de votre service juridique). Ceci permet au personnel juridique de travailler sans l’intervention d’administrateurs Exchange. Pour obtenir plus d’informations sur ce groupe de rôles, ainsi qu’une liste complète des rôles qui y sont attribués, consultez la rubrique Gestion de la détection. |
Comme décrit dans le tableau précédent, Exchange 2010 offre un niveau de contrôle plus détaillé des autorisations que vous accordez à vos administrateurs. Vous pouvez choisir parmi 11 groupes de rôles différents dans Exchange 2010. Pour obtenir une liste complète des groupes de rôles et des autorisations qu’ils fournissent, consultez la rubrique Groupes de rôles intégrés.
En raison du nombre de groupes de rôles que contient Exchange 2010 et parce qu’une personnalisation supplémentaire est possible en créant des groupes de rôles avec différentes combinaisons de rôles, aucune manipulation des listes de contrôle d’accès dans des objets Active Directory n’est désormais nécessaire et n’aura une incidence. Les listes de contrôle d’accès ne sont plus employées pour appliquer des autorisations à des administrateurs individuels ou des groupes dans Exchange 2010. Toutes les tâches, notamment la création d’une boîte aux lettres par un administrateur ou l’accès d’un utilisateur à une boîte aux lettres, sont gérées via le contrôle d’accès basé sur un rôle (RBAC). Le contrôle d’accès basé sur un rôle (RBAC) autorise la tâche et, si elle est validée, Exchange l’exécute pour le compte de l’utilisateur dans le groupe de sécurité universel du sous-système approuvé Exchange. À quelques exceptions près, toutes les listes de contrôle d’accès dans des objets Active Directory auxquels Exchange 2010 doit accéder sont autorisées dans le groupe de sécurité universel du sous-système approuvé Exchange. Cet aspect change fondamentalement le mode de gestion des autorisations dans Exchange 2003.
Les autorisations accordées à un utilisateur dans Active Directory sont distinctes des autorisations accordées à l’utilisateur par le contrôle d’accès basé sur un rôle (RBAC) lorsque l’utilisateur en question fait appel aux outils de gestion Exchange 2010.
Pour plus d’informations sur le contrôle d’accès basé sur un rôle (RBAC), consultez la rubrique Présentation du contrôle d'accès basé sur un rôle.
Autorisations Exchange 2003
Exchange 2003 inclut les rôles d’administrateur suivants :
Affichage seul d’Exchange Ce rôle accorde des autorisations qui permettent à un administrateur Exchange 2003 de consulter des informations sur des serveurs et des destinataires Exchange 2003.
Administrateur Exchange Ce rôle accorde toutes les autorisations aux administrateurs Exchange 2003 pour les serveurs et les destinataires Exchange 2003, sauf la possibilité de prendre possession, de modifier des autorisations ou d’ouvrir des boîtes aux lettres utilisateur. Si l’administrateur doit ajouter des objets ou modifier des propriétés d’objet sans avoir à déléguer des autorisations sur les objets, ce rôle est attribué.
Administrateur intégral Exchange Ce rôle accorde toutes les autorisations à un administrateur Exchange 2003 pour les serveurs et les destinataires Exchange 2003, y compris la possibilité de modifier des autorisations. Il est attribué aux administrateurs qui doivent déléguer des autorisations pour des objets.
Exchange 2003 permet de séparer vos administrateurs et de les répartir dans l’un de ces rôles. Les autorisations sont affectées directement soit à l’utilisateur, soit au groupe de sécurité universel dont l’utilisateur est membre. Toutes les actions entreprises par l’utilisateur le sont dans le contexte du compte Active Directory de ce dernier.
Si vous souhaitez affecter des autorisations à un niveau plus détaillé, vous devez modifier les listes de contrôle d’accès sur des objets Exchange 2003 individuels, tels que des listes d’adresses ou des bases de données. Comme pour les rôles administratifs, l'utilisateur, ou le groupe de sécurité dont l'utilisateur est un membre, est ajouté directement dans la liste de contrôle d'accès, et les actions sont exécutées dans le contexte de l'utilisateur.
Pour plus d’informations sur les groupes d’administration Exchange 2003, consultez l’article 823018 de la Base de connaissances Microsoft, Vue d’ensemble des autorisations de rôle d’administrateur Exchange dans Exchange 2003.
Coexistence des autorisations dans Exchange 2010 et Exchange 2003
Comme décrit plus haut dans cette rubrique, les modèles d’autorisations pour Exchange 2010 et Exchange 2003 ne sont pas les mêmes. Pour accorder des autorisations, Exchange 2010 se sert de groupes de rôles tandis qu’Exchange 2003 utilise une combinaison de groupes d’administration et de listes de contrôle d’accès. Les autorisations Exchange 2010 et Exchange 2003 sont complètement distinctes, même si les deux versions existent dans la même forêt. Cette situation signifie que, par défaut et sans aucune configuration en sus, des administrateurs Exchange 2003 ne sont pas autorisés à gérer des serveurs Exchange 2010 et que des administrateurs Exchange 2010 ne sont pas autorisés à gérer des serveurs Exchange 2003. Elle implique également des questions dont vous devez tenir compte :
Souhaitez-vous autoriser des administrateurs Exchange 2010 à administrer des serveurs Exchange 2003 et inversement ?
Souhaitez-vous personnaliser les autorisations Exchange 2010 pour les rendre compatibles avec les autorisations que vous avez définies dans Exchange 2003 ?
Accorder des autorisations Exchange 2010 à des administrateurs Exchange 2003
Si vous souhaitez que vos administrateurs Exchange 2003 gèrent des serveurs Exchange 2010, ces administrateurs Exchange 2003 doivent être ajoutés en tant que membres d’un ou de plusieurs groupes de rôles Exchange 2010. Vous pouvez ajouter soit des utilisateurs, soit des groupes de sécurité universels à des groupes de rôles. Les autorisations octroyées aux groupes de rôles seront ensuite appliquées aux utilisateurs ou aux groupes de sécurité universels ajoutés en tant que membres.
.gif "Important") Important : |
|---|
| Si vous utilisez des groupes de sécurité Active Directory globaux ou de domaine local, vous devez les redéfinir en tant que groupes de sécurité universels si votre intention est de les ajouter comme membres d’un groupe de rôles Exchange 2010. Exchange 2010 prend uniquement en charge les groupes de sécurité universels. |
Le tableau qui suit affiche un mappage entre des rôles d’administrateur Exchange 2003 et des groupes de rôles Exchange 2010.
Rôles d’administrateur Exchange 2003 et groupes de rôles Exchange 2010
| Rôles d’administrateur Exchange 2003 | Groupe de rôles Exchange 2010 |
|---|---|
Administrateur intégral Exchange |
Gestion de l’organisation |
Administrateur Exchange |
Il n’y a aucun groupe de rôles équivalent inclus dans Exchange 2010. Un groupe de rôles personnalisé fondé sur le groupe de rôles Gestion de l’organisation, mais sans aucune attribution de rôle de délégation, doit être créé dans Exchange 2010 pour que vous disposiez d’un groupe de rôles qui équivaut au groupe de rôles d’administrateur Exchange. Pour plus d’informations sur la création de groupes de rôles personnalisés, consultez la rubrique Créer un groupe de rôles. |
Affichage seul d’Exchange |
Afficher uniquement la gestion de l’organisation |
Si tous vos administrateurs Exchange 2003 sont des membres de l’un des trois rôles d’administrateur Exchange 2003, vous devez ajouter les membres de chaque groupe d’administration à leur groupe de rôles Exchange 2010 équivalent. Pour plus d’informations sur l’ajout d’utilisateurs et de groupes de sécurité universels à des groupes de rôles, consultez la rubrique Ajouter des membres un groupe de rôles.
Si vous avez modifié des listes de contrôle d’accès dans des objets Exchange 2003 pour accorder des autorisations plus granulaires à des administrateurs Exchange 2003 et souhaitez affecter des autorisations semblables à ces mêmes administrateurs pour des serveurs Exchange 2010, vous devez procéder comme suit :
Dressez un inventaire de la personnalisation réalisée pour les listes de contrôle d’accès dans vos objets Exchange 2003, puis identifiez les administrateurs à qui des autorisations ont été accordées pour chaque objet.
Classez chaque objet Exchange 2003 (par exemple, s’agit-t-il d’une base de données, d’un serveur ou d’un objet de destinataire ?).
Mappez les objets sur le groupe de rôles Exchange 2010 correspondant. Pour obtenir une liste des groupes de rôles intégrés, consultez la rubrique Groupes de rôles intégrés.
Ajoutez les utilisateurs ou les groupes de sécurité universels pour chaque type d’objet aux groupes de rôles Exchange 2010 correspondants. Pour plus d’informations sur l’ajout d’utilisateurs et de groupes de sécurité universels à des groupes de rôles, consultez la rubrique Ajouter des membres un groupe de rôles.
Ceci fait, vos administrateurs Exchange 2003 doivent apparaître comme des membres du groupe de rôles mappé sur les objets Exchange 2010 qu’ils ont à administrer. Ils peuvent désormais avoir recours aux outils de gestion d’Exchange 2010 pour gérer les serveurs et les destinataires Exchange 2010.
| Important : |
|---|
| En règle générale, la gestion des serveurs et des destinataires Exchange 2003 se fait par le biais des outils de gestion d’Exchange 2003 ; celle des serveurs et des destinataires Exchange 2010 est confiée aux outils de gestion d’Exchange 2010. Pour plus d’informations, consultez la rubrique Exchange 2003 - Planification d’une feuille de route pour la mise à niveau et la coexistence. |
Si les groupes de rôles intégrés ne vous procurent pas l’ensemble précis des autorisations que vous souhaitez accorder à certains administrateurs, vous pouvez créer des groupes de rôles personnalisés. Lorsque vous créez un groupe de rôle personnalisé, vous pouvez choisir les rôles que vous souhaitez y ajouter. Ceci vous permet de définir les fonctionnalités spécifiques dont vous souhaitez confier la gestion aux membres du groupe de rôles. Par exemple, si vous voulez que seuls les administrateurs gèrent les groupes de distribution, vous pouvez créer un groupe de rôles personnalisé et choisir simplement le rôle Groupes de distribution. Les membres de ce groupe de rôles pourront uniquement gérer des groupes de distribution. Pour plus d’informations sur la création de groupes de rôles personnalisés, consultez la rubrique Créer un groupe de rôles.
Si vous avez accordé des autorisations sélectives à certains objets Exchange 2003, notamment pour permettre aux administrateurs de gérer seulement des bases de données spécifiques, et souhaitez appliquer la même configuration à vos serveurs Exchange 2010, consultez la section « Recréer la personnalisation des listes de contrôle d’accès Exchange 2003 à l’aide d’étendues de gestion dans Exchange 2010 » plus loin dans cette rubrique.
Accorder des autorisations Exchange 2003 à des administrateurs Exchange 2010
Si vous souhaitez confier l’administration de serveurs Exchange 2003 à des administrateurs Exchange 2010, il vous faut ajouter vos administrateurs Exchange 2010 à l’un des trois groupes d’administration Exchange 2003 ou aux listes de contrôle d’accès appropriées si vous avez personnnalisé vos autorisations Exchange 2003. Vous pouvez ajouter soit des utilisateurs, soit des groupes de sécurité universels à des groupes d’administration Exchange 2003. Les groupes de rôles sont des groupes de sécurité universels pouvant être directement ajoutés aux groupes d'administration Exchange 2003. Cette rubrique montre comment ajouter des administrateurs Exchange 2010 aux groupes d'administration Exchange 2003 intégrés.
Le mappage entre groupes de rôles Exchange 2010 et rôles d’administrateur Exchange 2003 décrit dans le tableau « Rôles d’administrateur Exchange 2003 et groupes de rôles Exchange 2010 » plus haut dans cette rubrique s’applique également ici. Si vous souhaitez que les administrateurs de votre organisation Exchange 2010 bénéficient d’un accès intégral à vos rôles d’administrateur Exchange 2003, ajoutez le groupe de rôles Gestion de l’organisation au groupe d’administration Administrateur intégral Exchange. Procédez de même avec le groupe de rôles Afficher uniquement la gestion de l’organisation et le groupe d’administration Affichage seul d’Exchange.
Ceci fait, vos administrateurs Exchange 2010 doivent apparaître comme des membres du groupe d’administration mappé sur le groupe de rôles auquel ils appartiennent. Ils peuvent désormais avoir recours aux outils de gestion d’Exchange 2003 pour gérer les serveurs et les destinataires Exchange 2003.
| Important : |
|---|
| En règle générale, la gestion des serveurs et des destinataires Exchange 2003 se fait par le biais des outils de gestion d’Exchange 2003 ; celle des serveurs et des destinataires Exchange 2010 est confiée aux outils de gestion d’Exchange 2010. Pour plus d’informations, consultez la rubrique Exchange 2003 - Planification d’une feuille de route pour la mise à niveau et la coexistence. |
Pour plus d’informations sur l’ajout d’utilisateurs ou de groupes de sécurité universels à des groupes d’administration Exchange 2003, consultez l’article 823018 de la Base de connaissances Microsoft, Vue d’ensemble des autorisations de rôle d’administrateur Exchange dans Exchange 2003.
Recréer la personnalisation des listes de contrôle d’accès Exchange 2003 à l’aide d’étendues de gestion dans Exchange 2010
Dans Exchange 2003, si vous souhaitez restreindre le nombre de personnes autorisées à administrer une banque de boîtes aux lettres spécifique ou des utilisateurs en particulier, ou bien à contrôler dans quelle banque les boîtes aux lettres sont créées, vous devez modifier les listes de contrôle d’accès dans les objets à restreindre. Exchange 2010 offre les mêmes fonctionnalités, mais n’impose pas de modifier toutes les listes de contrôle d’accès. Il utilise pour cela les étendues de gestion qui sont un composant du Contrôle d’accès basé sur un rôle (RBAC).
Les étendues de gestion permettent de faire appel à des étendues intégrées et personnalisées pour définir les objets que les administrateurs peuvent gérer. En appliquant des étendues de gestion, vous pouvez définir les destinataires à administrer, les bases de données de boîtes aux lettres dans lesquelles les boîtes aux lettres peuvent être créées, ainsi que les destinataires et les serveurs dont la gestion sera confiée à un petit groupe d’administrateurs et personne d’autre.
Les types d’étendue de gestion suivants peuvent être créés :
Étendue relative prédéfinie Les étendues relatives prédéfinies sont disponibles dans Exchange 2010. Vous pouvez contrôler ce que voit un utilisateur et ce qu’il peut modifier. Par exemple, les étendues relatives prédéfinies permettent de contrôler si les utilisateurs voient uniquement les informations qui les concernent ou celles qui concernent toute l’organisation.
Destinataire Les étendues de destinataire contrôlent les destinataires qu’un administrateur peut créer, modifier ou supprimer. Elles peuvent être fondées sur une unité d’organisation, un filtre de destinataire, ou les deux. Les filtres de destinataire précisent les critères auxquels un destinataire doit répondre pour être inclus dans l’étendue. Par exemple, vous pouvez créer une étendue de filtre de destinataire qui comprend tous les utilisateurs dans un site géographique donné ou un service en particulier. Vous pouvez même combiner des unités d’organisation et des filtres de destinataire afin qu’ils correspondent uniquement à des utilisateurs d’une unité d’organisation précise travaillant sous la direction d’un responsable spécifique.
Serveur Les étendues de serveur contrôlent les serveurs qu’un administrateur peut gérer. Vous pouvez définir des listes de serveurs ou des filtres de serveur. Les listes de serveurs permettent de définir une liste statique de serveurs qu’il est possible de gérer. Les filtres de serveur fonctionnent de la même manière que les filtres de destinataire puisqu’ils permettent de définir des critères de correspondance. Par exemple, vous pouvez créer une étendue de serveur qui correspond à tous les serveurs sur un site Active Directory en particulier.
Base de données Les étendues de base de données contrôlent les bases de données qu’un administrateur peut gérer. Elles peuvent aussi contrôler les bases de données dans lesquelles il est possible de créer ou de déplacer des boîtes aux lettres. Tout comme les étendues de serveur, vous pouvez les définir comme des listes ou des filtres. Par exemple, vous pouvez créer une liste ou un filtre dont les administrateurs peuvent se servir pour créer ou déplacer des boîtes aux lettres dans des bases de données de boîtes aux lettres spécifiques gérées par une filiale bien précise.
Étendue exclusive À l’exception des étendues relatives prédéfinies, toutes les étendues énoncées ci-dessus peuvent également être créées en tant qu’étendues exclusives. Les étendues exclusives fonctionnent comme les entrées de contrôle d’accès (ACE) DENY (accès refusé) dans les listes de contrôle d’accès. Si un élément quelconque correspond à une étendue exclusive, seuls les administrateurs à qui une étendue exclusive a été attribuée peuvent gérer cet objet, même si une autre étendue non exclusive correspond à ce même objet. Cette fonctionnalité est très utile pour les responsables qui souhaitent que seule une poignée de personnes dignes de confiance puissent gérer leurs boîtes aux lettres. Même si une autre étendue de destinataire plus large et régulière inclut la boîte aux lettres du responsable, les administrateurs à qui cette étendue régulière plus large a été attribuée ne pourront pas gérer cette boîte aux lettres, sauf si une étendue exclusive leur a également été attribuée.
Les étendues de gestion sont utilisées conjointement avec des rôles de gestion, des attributions de rôle de gestion et des groupes de rôles de gestion afin de contrôler les personnes autorisées à gérer des objets, la nature de ces objets et le lieu où ils sont stockés. Pour plus d’informations, consultez les rubriques suivantes :
Pour créer le même modèle d’autorisations dans Exchange 2010 au moyen d’étendues de gestion que vous auriez définies dans Exchange 2003 à l’aide de listes de contrôle d’accès personnalisées, vous devez dresser un inventaire des listes de contrôle d’accès que vous avez personnalisées et créer des étendues de gestion qui leur correspondent. Les propriétés filtrables disponibles dans les objets destinataire, serveur et base de données peuvent vous être utiles pour créer des étendues de gestion comprenant les objets dont chacune d’entre elles devra contrôler l’accès. Pour plus d’informations sur les propriétés à utiliser dans le cadre des étendues de gestion, consultez la rubrique Présentation des filtres d'attribution du rôle de gestion.
Pour plus d’informations sur la création d’étendues de gestion, consultez la rubrique Créer une étendue normale ou exclusive.
© 2010 Microsoft Corporation. Tous droits réservés.