Configurer Exchange 2013 pour les autorisations divisées

  • Article

S’applique à : Exchange Server 2013

Les autorisations fractionnées activent deux groupes distincts, tels que les administrateurs Active Directory et les administrateurs Microsoft Exchange Server 2013, pour gérer leurs services, objets et attributs respectifs. Les administrateurs Active Directory gèrent les principaux de sécurité, tels que les utilisateurs, qui fournissent les autorisations permettant d'accéder à une forêt Active Directory. Les administrateurs Exchange gèrent les attributs relatifs à Exchange sur les objets Active Directory, ainsi que la création et la gestion d'objets spécifiques à Exchange.

Microsoft Exchange Server 2013 offre les types suivants de modèle d'autorisations fractionnées :

  • Autorisations de fractionnement RBAC : les autorisations permettant de créer des principaux de sécurité dans la partition de domaine Active Directory sont contrôlées par le Access Control basé sur les rôles (RBAC). Seuls les membres des groupes de rôles appropriés peuvent créer des principaux de sécurité.

  • Autorisations de fractionnement Active Directory : les autorisations de création de principaux de sécurité dans la partition de domaine Active Directory sont complètement supprimées de tout utilisateur, service ou serveur Exchange. Aucune option n'est fournie dans le contrôle RBAC pour créer des principaux de sécurité. Dans Active Directory, ces derniers doivent être créés à l'aide des outils de gestion Active Directory.

    Remarque

    Les autorisations fractionnées Active Directory sont disponibles dans les organisations qui exécutent Microsoft Exchange Server 2010 Service Pack 1 (SP1) ou ultérieur, Exchange 2013, ou les deux versions d'Exchange.

Le modèle que vous choisissez va dépendre de la structure et des besoins de votre organisation. Choisissez la procédure ci-après qui s'applique au modèle que vous souhaitez configurer. Nous vous recommandons d'utiliser le modèle d'autorisations fractionnées RBAC. En effet, ce modèle s'avère sensiblement plus souple tout en assurant le même niveau de séparation de l'administration que les autorisations fractionnées Active Directory.

Pour plus d'informations sur les autorisations partagées et fractionnées, voir Présentation des autorisations fractionnées.

Pour plus d'informations sur les groupes de rôle de gestion, les rôles de gestion et les attributions de rôles de gestion de délégation, voir les rubriques suivantes :

Souhaitez-vous rechercher les autres tâches de gestion relatives aux autorisations ? Consultez la rubrique Autorisations avancées.

Ce qu'il faut savoir avant de commencer

  • Durée d'exécution estimée de chaque procédure : 5 minutes

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l'entrée « Autorisations fractionnées Active Directory » de la rubrique Autorisations pour la gestion des rôles.

  • Vous devez utiliser Windows PowerShell, l'interface de commande Windows ou les deux pour exécuter ces procédures. Pour plus d'informations, voir chaque procédure.

  • Si votre organisation dispose de serveurs Exchange 2010, le modèle d'autorisations que vous sélectionnez doit s'appliquer à ces serveurs.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

Conseil

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums de Exchange Server.

Passer aux autorisations fractionnées RBAC

Vous pouvez configurer votre organisation Exchange 2013 pour les autorisations fractionnées RBAC. Une fois terminé, seuls les administrateurs Active Directory pourront créer les entités de sécurité Active Directory. Cela signifie que les administrateurs Exchange ne pourront pas utiliser les cmdlets suivantes :

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

Les administrateurs Exchange pourront uniquement gérer les attributs Exchange sur les entités de sécurité Active Directory existants. Toutefois, ils pourront gérer des objets spécifiques à Exchange, tels que les règles de transport et les groupes de distribution. Pour plus d'informations, consultez la section relative aux autorisations fractionnées RBAC dans la rubrique Présentation des autorisations fractionnées.

Pour configurer les autorisations fractionnées dans Exchange 2013, vous devez attribuer le rôle Création du destinataire de messagerie et le rôle Création du groupe de sécurité et appartenance à un groupe de rôles contenant des membres qui sont administrateurs d'Active Directory. Vous devez ensuite supprimer les attributions entre ces rôles et tout groupe de rôles ou groupe de sécurité universelle qui contient les administrateurs d'Exchange.

Pour configurer les autorisations fractionnées RBAC, procédez comme suit :

  1. Si les autorisations fractionnées Active Directory sont actuellement configurées pour votre organisation, procédez comme suit à l'invite de commandes de l'environnement de ligne de commande Windows.

    1. Désactivez les autorisations fractionnées Active Directory en exécutant la commande suivante à partir du support d'installation d'Exchange 2013.

      setup.exe /PrepareAD /ActiveDirectorySplitPermissions:false

    2. Redémarrez les serveurs Exchange 2013 de l'entreprise ou attendez que le jeton d'accès Active Directory soit répliqué sur tous vos serveurs Exchange 2013.

      Remarque

      Si votre organisation comporte des serveurs Exchange 2010, vous devez aussi les redémarrer.

  2. À partir de l'environnement de ligne de commande ExchangeManagement Shell, procédez comme suit :

    1. Créez un groupe de rôles pour les administrateurs Active Directory. Non seulement la commande crée le groupe de rôles, mais elle crée aussi des attributions de rôle ordinaire entre le nouveau groupe de rôles et les rôles Création du destinataire de messagerie et Création du groupe de sécurité et appartenance.

      New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"

      Remarque

      Pour que les membres de ce groupe de rôles puissent créer des attributions de rôle, ajoutez le rôle de gestion des rôles. Vous n'avez pas à vous en occuper à ce stade. Toutefois, si vous souhaitez toujours attribuer le rôle Création du destinataire de messagerie ou le rôle Création du groupe de sécurité et appartenance à d'autres utilisateurs de rôle, le rôle de gestion des rôles doit être attribué à ce nouveau groupe de rôles. La procédure ci-après permet de configurer le groupe de rôles des administrateurs Active Directory en tant que seul groupe de rôles habilité à déléguer ces rôles.

    2. Créez les attributions de rôle de délégation entre le nouveau groupe de rôles et les rôles Création du destinataire de messagerie et Création du groupe de sécurité et appartenance en exécutant les commandes suivantes.

      New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating

    3. Ajoutez des membres au nouveau groupe de rôles à l'aide de la commande suivante.

      Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>

    4. Remplacez la liste des délégués dans le nouveau groupe de rôles, de sorte que seuls les membres du groupe de rôles peuvent ajouter ou supprimer des membres.

      Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"

      Importante

      Les membres du groupe de rôles Gestion de l'organisation, ou ceux auxquels est attribué le rôle de gestion des rôles, soit directement soit via un autre groupe de rôles ou groupe de sécurité universelle, peuvent ignorer ce contrôle de sécurité des délégués. Si vous souhaitez empêcher tout administrateur Exchange de s'ajouter au nouveau groupe de rôles, vous devez supprimer l'attribution de rôle entre le rôle de gestion des rôles et les administrateurs Exchange, puis l'attribuer à un autre groupe.

    5. Recherchez toutes les attributions de rôle ordinaire et de délégation concernant le rôle Création du destinataire de messagerie à l'aide de la commande suivante. La commande affiche uniquement le nom ( Name ), le rôle ( Role ) et les propriétés RoleAssigneeName.

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto

    6. À l'aide de la commande suivante, supprimez toutes les attributions de rôle ordinaire et de délégation concernant le rôle Création du destinataire de messagerie qui ne sont pas associées au nouveau groupe de rôle ou à tout autre groupe de rôle, groupe de sécurité universelle ou attribution directe que vous souhaitez conserver.

      Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>

      Remarque

      Pour supprimer l'ensemble des attributions de rôle ordinaire et de délégation du rôle Création du destinataire de messagerie dont dispose un utilisateur de rôle autre que le groupe des administrateurs Active Directory, exécutez la commande suivante. Le commutateur WhatIf vous permet de voir quelles attributions de rôles seront supprimées. Supprimez le commutateur WhatIf et réexécutez la commande pour supprimer les attributions de rôles.

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where {$_.RoleAssigneeName -NE "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf

    7. Recherchez toutes les attributions de rôle ordinaire et de délégation concernant le rôle Création du groupe de sécurité et appartenance à l'aide de la commande suivante. La commande affiche uniquement le nom ( Name ), le rôle ( Role ) et les propriétés RoleAssigneeName.

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto

    8. À l'aide de la commande suivante, supprimez toutes les attributions de rôle ordinaire et de délégation concernant le rôle Création du groupe de sécurité et appartenance qui ne sont pas associées au nouveau groupe de rôle ou à tout autre groupe de rôle, groupe de sécurité universelle ou attribution directe que vous souhaitez conserver.

      Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>

      Remarque

      Vous pouvez utiliser la commande présentée dans la remarque précédente pour supprimer toutes les attributions de rôle ordinaire et de délégation concernant le rôle de création du groupe de sécurité et appartenance associées à tout utilisateur de rôle autre que le groupe de rôle des administrateurs Active Directory, comme indiqué dans l'exemple ci-après.

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where {$_.RoleAssigneeName -NE "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques suivantes :

Passer aux autorisations fractionnées Active Directory

Vous pouvez configurer votre organisation Exchange 2013 pour les autorisations fractionnées Active Directory. Les autorisations fractionnées Active Directory suppriment totalement les autorisations permettant aux administrateurs et serveurs Exchange de créer des principaux de sécurité Active Directory ou de modifier des attributs non-Exchange sur ces objets. Une fois cette opération terminée, seuls les administrateurs Active Directory pourront créer les principaux de sécurité Active Directory. Cela signifie que les administrateurs Exchange ne pourront pas utiliser les cmdlets suivantes :

  • Add-DistributionGroupMember

  • New-DistributionGroup

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-DistributionGroup

  • Remove-DistributionGroupMember

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

  • Update-DistributionGroupMember

Les administrateurs et les serveurs Exchange pourront uniquement gérer les attributs Exchange sur les principaux de sécurité Active Directory existants. Cependant, ils seront en mesure de créer et de gérer des objets spécifiques d'Exchange, comme des règles de transport et des plans de numérotation de messagerie unifiée.

Avertissement

Une fois que vous activé les autorisations fractionnées Active Directory, les administrateurs et les serveurs Exchange ne peuvent plus créer de principaux de sécurité dans Active Directory ni gérer l'appartenance au groupe de distribution. Pour effectuer ces tâches, utilisez les outils de gestion Active Directory en vous assurant de bénéficier des autorisations Active Directory nécessaires. Avant de procéder à ces modifications, assurez-vous de bien en connaître les conséquences sur vos processus administratifs et les applications intégrées à Exchange 2013 ainsi que le modèle d'autorisation RBAC.

Pour plus d’informations, consultez la section « Autorisations fractionnées Active Directory » dans Présentation des autorisations fractionnées.

Pour basculer des autorisations partagées ou fractionnées RBAC vers les autorisations fractionnées Active Directory, procédez comme suit :

  1. Dans une invite de commandes Windows, exécutez la commande suivante du support d'installation d'Exchange 2013 pour activer les autorisations fractionnées Active Directory.

    setup.exe /PrepareAD /ActiveDirectorySplitPermissions:true

  2. Si vous avez plusieurs domaines Active Directory dans votre organisation, vous devez soit exécuter setup.exe /PrepareDomain dans chaque domaine enfant qui contient des serveurs ou des objets Exchange, soit exécuter setup.exe /PrepareAllDomains à partir d’un site qui dispose d’un serveur Active Directory de chaque domaine.

  3. Redémarrez les serveurs Exchange 2013 de l'entreprise ou attendez que le jeton d'accès Active Directory soit répliqué sur tous vos serveurs Exchange 2013.

    Remarque

    Si votre organisation comporte des serveurs Exchange 2010, vous devez aussi les redémarrer.