Modifications apportées au modèle d'administration et d'autorisations

Dernière rubrique modifiée : 2007-01-26

Par Kweku Ako-Adjei

Vous êtes prêt à mettre à niveau votre organisation Microsoft Exchange Server d'Exchange Server 2003 vers Exchange Server 2007 ? Parfait. Toutefois, avant de démarrer, veillez à disposer d'une stratégie de planification solide, ce qui implique une bonne compréhension des modifications apportées au modèle d'administration et d'autorisations. Exchange 2007 offre désormais une certaine flexibilité concernant l'attribution des autorisations aux administrateurs. Plusieurs modifications ont également été apportées afin d'améliorer la configuration manuelle des autorisations que vous devez effectuer pour séparer les autorisations Exchange des autres autorisations administratives.

Pour vous aider à comprendre ces modifications, cet article vous guide dans la procédure recommandée, et inclut des liens vers les documents appropriés contenant des informations détaillées sur le nouveau modèle d'administration et d'autorisations.

Préparation

Utiliser des autorisations de service d'annuaire Active Directory en relation avec Exchange peut s'avérer une tâche complexe. Aussi, dans un premier temps, il est important de comprendre les modifications introduites dans Exchange 2007. Pour développer une stratégie de planification solide, il est recommandé de consulter les rubriques suivantes :

• Préparation du déploiement d'Exchange 2007

• Préparation d'Active Directory et de domaines

• Planification de l'accès à Active Directory

• Préparation des autorisations héritées d'Exchange

Raisons de l'apport de modifications

Lors de l'introduction d'Active Directory dans Exchange 2000 Server, nous avons découvert que de nombreuses organisations avaient recours à des administrateurs distincts pour Exchange et Active Directory. À l'évidence, cela dénotait la nécessité de déléguer des fonctions administratives. Dans ces scénarios, les opérations étaient décentralisées de telle sorte que des équipes distinctes géraient divers aspects d'Exchange et de Microsoft Windows (Active Directory).

C'est pourquoi, en réponse aux commentaires de clients d'Exchange 2000, nous avons apporté plusieurs modifications au processus de gestion des autorisations dans Exchange 2003. Plus spécifiquement, Exchange 2003 intégrait des rôles de sécurité prédéfinis. Ces rôles constituaient un ensemble d'autorisations normalisées qui pouvaient être appliquées au niveau de l'organisation ou du groupe d'administration. Nous avons cependant découvert que ce modèle présentait les limites suivantes :

• Manque de spécificité. Le groupe Administrateurs Exchange était trop important et certains clients voulaient gérer leur modèle de sécurité et d'autorisations au niveau du serveur individuel.

• Rôles de sécurité Exchange 2003 semblant ne présenter que de très légères différences.

• Absence de séparation claire entre l'administration des utilisateurs et des groupes par les administrateurs Windows (Active Directory) et les administrateurs des destinataires Exchange. Par exemple, pour exécuter des tâches Exchange en relation avec le destinataire, il fallait octroyer aux administrateurs Exchange des autorisations de haut niveau (autorisations Opérateur de compte sur les domaines Windows).

Nouveau modèle d'administration

Pour pallier à ces limites, nous avons apporté des modifications qui améliorent la gestion des rôles d'administrateur Exchange. Exchange 2007 inclut les fonctionnalités inédites ou améliorées du modèle d'administration et d'autorisations Exchange suivantes :

• De nouveaux rôles d'administrateur ont été créés, qui sont similaires aux groupes de sécurité intégrés de Windows Server. Pour plus d'informations sur ces rôles d'administrateur, consultez la section « Rôles d'administrateur dans Exchange 2007 » de la page Considérations relatives aux autorisations.

• Vous pouvez utiliser la console de gestion Exchange (précédemment Gestionnaire système Exchange) et l'environnement de ligne de commande Exchange Management Shell pour afficher, ajouter et supprimer des membres de tout rôle administrateur.

• Aucun paramètre de liste de contrôle d'accès (ACL) n'est requis pour modifier l'appartenance à un rôle d'administrateur. Ces rôles d'administrateur sont ajoutés de façon statique aux listes de contrôle d'accès d'objet appropriées en cours d'installation.

Pour plus d'informations sur les différences entre les modèles d'autorisations Exchange 2007 et Exchange 2003, les nouveaux rôles d'administrateur et la procédure de configuration des autorisations Exchange 2007, consultez les rubriques suivantes :

• Considérations relatives aux autorisations

• Configuration des autorisations

Nouveaux outils d'administration

Pour octroyer des autorisations dans Exchange 2003, vous utilisiez l'Assistant Délégation du Gestionnaire système Exchange. Afin de vous offrir davantage d'options, Exchange 2007 inclut deux interfaces qui permettent de configurer et d'administrer votre modèle d'autorisations :

• Console de gestion Exchange

• Environnement de ligne de commande Exchange Management Shell

Console de gestion Exchange

Il existe deux façons d'utiliser la console de gestion Exchange pour configurer et administrer les autorisations. Pour octroyer des autorisations, utilisez l'Assistant Ajouter un administrateur Exchange. Vous pouvez également utiliser la console proprement dite pour afficher et modifier les rôles d'administrateur et l'appartenance aux rôles d'administrateur, ainsi que les autorisations des utilisateurs et groupes.

Pour plus d'informations sur ces tâches, consultez les rubriques suivantes :

• Utilisation de la console de gestion Exchange

• Nouveau guide de l'utilisateur de la console de gestion Exchange

• Procédure de suppression d'un utilisateur ou d'un groupe d'un rôle Administrateur

• Procédure d’ajout d'un utilisateur ou d'un groupe à un rôle d’administrateur

• Procédure d'affichage des rôles d'administrateur pour des utilisateurs et des groupes

• Procédure de modification des autorisations pour des utilisateurs et des groupes

Environnement de ligne de commande Exchange Management Shell

Désormais, vous pouvez également utiliser l'environnement de ligne de commande Exchange Management Shell pour configurer et administrer les autorisations. Nouveauté d'Exchange 2007, l'environnement de ligne de commande Exchange Management Shell est une interface de gestion puissante basée sur la technologie Microsoft Windows PowerShell. L'environnement de ligne de commande Exchange Management Shell permet d'effectuer toutes les tâches disponibles dans la console de gestion Exchange, ainsi que d'autres tâches.

Pour plus d'informations sur l'environnement de ligne de commande Exchange Management Shell et la manière de l'utiliser pour configurer et administrer les autorisations, consultez les rubriques suivantes :

• Utilisation de l'environnement de ligne de commande Exchange Management Shell

• Aperçu de l'environnement de ligne de commande Exchange Management Shell

• Add-ADPermission

• Get-ADPermission

• Remove-ADPermission

Pour plus d'informations

Pour plus d'informations sur la délégation d'autorisations Exchange 2007 et les jeux de propriétés, consultez les blogs de l'équipe Exchange suivants :

• Recipient Permission Delegation in Exchange Server 2007

• Property Sets in Exchange Server 2007

Kweku Ako-Adjei - Rédacteur technique, Microsoft Exchange Server